セキュリティ

SECURITY

公開：2024-10-26

【CVE-2024-42420】シャープと東芝テック製複合機に複数の脆弱性、認証機構の迂回やクロスサイトスクリプティングの危険性が明らかに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• シャープ製および東芝テック製複合機に複数の脆弱性
• 認証機構の迂回やクロスサイトスクリプティングの危険性
• ファームウェアのアップデートで対策が必要

シャープおよび東芝テック製複合機における複数の深刻な脆弱性

シャープ株式会社および東芝テック株式会社は2024年10月25日、複数の複合機（MFP）に存在する深刻な脆弱性を公開した。発見された脆弱性には【CVE-2024-42420】【CVE-2024-43424】【CVE-2024-45829】などが含まれており、領域外メモリ参照やパストラバーサル、認証処理の不備など多岐にわたる問題が確認されている。^[1]

特に深刻な脆弱性として、認証判定処理の不備による認証機構の迂回【CVE-2024-47406】が挙げられ、基本値9.1と高い危険度が示されている。また管理者権限を持たないユーザーによる設定登録APIの不正使用【CVE-2024-47005】も発見され、情報漏洩やシステム管理における重大なリスクとなっている。

複合機のセキュリティ対策として、インターネットへの直接接続を避け、ファイアウォールやルーターで保護されたネットワーク内での使用が推奨されている。また管理者パスワードを初期値から変更し適切に管理することや、各製品開発者が提供するファームウェアのアップデートを実施することが重要となっている。

複合機の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一つで、攻撃者が悪意のあるスクリプトを注入できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• Webサイトに悪意のあるスクリプトを埋め込むことが可能
• ユーザーの個人情報やセッション情報を盗み取るリスクがある
• 反射型と格納型の2種類の攻撃パターンが存在する

今回の複合機の脆弱性では、反射型クロスサイトスクリプティング【CVE-2024-47801】と格納型クロスサイトスクリプティング【CVE-2024-48870】の両方が発見された。HTTPリクエストのクエリパラメタの判定処理やデバイスWebページのURI情報登録における入力値判定処理に不備があり、攻撃者がスクリプトを実行できる可能性が指摘されている。

複合機の脆弱性に関する考察

複合機におけるセキュリティ対策の重要性が再認識される中、今回の脆弱性発見は製品のセキュリティ強化につながる重要な契機となっている。特に認証処理やAPI利用に関する不備は、企業の情報セキュリティ管理において深刻な影響をもたらす可能性があり、早急な対応が求められている。

今後の課題として、複合機のネットワーク接続における安全性確保と、ユーザー認証システムの信頼性向上が挙げられる。特にクラウドサービスとの連携が進む中、複合機のセキュリティ対策は従来以上に重要性を増しており、製造メーカーには継続的なセキュリティアップデートの提供が求められるだろう。

将来的には、人工知能を活用した不正アクセス検知システムや、ブロックチェーン技術を用いた改ざん防止機能など、より高度なセキュリティ機能の実装が期待される。複合機のIoT化が進む中、セキュリティとユーザビリティのバランスを保ちながら、安全な製品開発を継続することが重要だ。

参考サイト

1. ^ JVN. 「JVNVU#95063136: シャープ製および東芝テック製複合機（MFP）における複数の脆弱性」. https://jvn.jp/vu/JVNVU95063136/index.html, (参照 24-10-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧