FUJIFILM Printers Vulnerability Let Attackers Trigger DoS Condition
2025/08/04 CyberSecurityNews — 複数の FUJIFILM 製プリンターモデルに影響を及ぼす、深刻なセキュリティ脆弱性を悪用する攻撃者は、悪意あるネットワーク・パケットを介してサービス拒否 (DoS) 状態を引き起こせるとされる。2025年8月4日に公表された、この脆弱性 CVE-2025-48499 が影響を及ぼす範囲は、DocuPrint/Apeos プリンター・シリーズの複数モデルである。
主なポイント
- 脆弱性 CVE-2025-48499 を悪用する攻撃者は、FUJIFILM 製 DocuPrint/Apeos プリンターをクラッシュさせる可能性を手にする。
- 攻撃が成功すると、プリンターはフリーズし、手動での再起動が必要となるため、運用上の支障が生じる。
- ファームウェアを直ちに更新する必要がある。
境界外書き込み脆弱性
この脆弱性は、プリンターのバッファメモリ処理機構における境界外書き込みに起因し、Internet Printing Protocol (IPP) および Line Printer Daemon (LPD) パケットの処理時に発生する。
FUJIFILM のセキュリティ・アドバイザリによると、既存ロジックによりデータ書き込みプロセス中に生じる、データ長パラメータの不適切な検証により、この問題が発生するという。
特定の長さに細工されたパケットを受信した際に、指定されたバッファ領域を超えてデータが書き込まれ、プリンターがフリーズし、応答不能となる可能性がある。
この脆弱性は、境界外書き込みに関連する共通脆弱性タイプ (CWE-787) に分類されており、CVSS v3.1 スコアは 5.3 (Medium)、CVSS v4.0 スコアは 6.9 (Medium) と評価されている。
影響を受けるモデルには、DocuPrint CP225w/CP228w/CP115w/CP118w/CP116w/CP119w/CM225fw/CM228fw/CM115w/CM118w に加えて、Apeos 2150N/2350NDA/2150ND/2150NDA が含まれる。
それぞれのモデルに対して、影響の対象となるファームウェア・バージョンが指定されている。なお、最新のセキュリティ・パッチ適用前に出荷されたものが、最も脆弱なバージョンであるという。
この脆弱性は、北京航空航天大学サイバー・サイエンス・テクノロジー学院に所属する、セキュリティ研究者 Jia-Ju Bai/Rui-Nan Hu/Dong Zhang/Zhen-Yu Guan により発見された。一般企業における脆弱性の発見において、学術的セキュリティ研究が果たす役割の重要性を示している。
| Risk Factors | Details |
| Affected Products | DocuPrint CP225w/CP228w, CP115w/CP118w/CP116w/CP119w, CM225fw/CM228fw, CM115w/CM118w, Apeos 2150N/2350NDA/2150ND/2150NDA |
| Impact | Denial-of-Service (DoS) |
| Exploit Prerequisites | Network access to printer, no authentication required, low attack complexity, no user interaction needed |
| CVSS 3.1 Score | 5.3 (Medium) |
緩和策
すでに FUJIFILM は、脆弱性を修正するファームウェア更新版をリリースし、この問題に対処している。それぞれのプリンター・シリーズごとに、バージョン 01.11.00 〜 01.24.00 までの修正済みファームウェアが用意されており、速やかな更新が推奨されている。
また、FUJIFILM が一時的な回避策として推奨するのは、ファイアウォールの背後にデバイスを配置し、外部からの攻撃を防止することである。それに加えて、プリンターが応答しなくなった場合には、手動による再起動で対処できると述べている。
影響を受ける FUJIFILM 製プリンターを使用している組織は、最優先でファームウェアを更新すべきである。さらに、プリンター・インフラ全体にパッチが展開されるまで、潜在的な攻撃経路を最小限に抑制するために、ネットワーク・セグメンテーションの実施が求められる。
FUJIFILM プリンターのメモリ処理において、境界外書き込みの脆弱性が発生したとのことです。特定の長さのパケットを受け取ったときに、本来書き込むべき範囲を超えてデータが書き込まれるという問題が生じると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Printer で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.