セキュリティ

SECURITY

公開：2024-10-29

【CVE-2024-47406】シャープと東芝テック製MFPに複数の脆弱性、最大深刻度CVSS9.1の緊急事態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• シャープと東芝テック製MFPに複数の脆弱性が発見
• 最も深刻な脆弱性はCVSS基本値9.1の認証機能回避
• 複数の対策方法とアップデートの提供を開始

シャープと東芝テック製MFPにおける深刻な脆弱性の発見

シャープ株式会社および東芝テック株式会社は、両社の複合機（MFP）製品において複数の重大な脆弱性が発見されたことを公表した。最も深刻な脆弱性はCVE-2024-47406として識別され、HTTP リクエストの認証判定処理に不備があり認証機能を回避される可能性があるとされている。^[1]

発見された脆弱性には、領域外メモリ参照やパストラバーサル、設定登録APIのアクセス制限不備、クロスサイトスクリプティングなど多岐にわたる問題が含まれている。特にCVSS基本値9.1を記録したCVE-2024-47406は、攻撃条件の複雑さが低く、特権レベルも不要であることから、早急な対応が求められる状況だ。

この脆弱性情報はシャープ株式会社がJPCERT/CCに報告し、両者で調整が行われた結果として公開された。両社は対策としてファームウェアのアップデートを提供するとともに、複合機をインターネットに直接接続しない、Webページへのアクセス制限を設定するなどの暫定的な対策も推奨している。

シャープと東芝テック製MFPの脆弱性まとめ

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに埋め込むことができる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにHTML出力される
• 攻撃成功時にユーザーのブラウザで不正なスクリプトが実行可能
• セッションハイジャックやフィッシング詐欺などの攻撃に悪用される

今回の脆弱性では、CVE-2024-47801とCVE-2024-48870において反射型および格納型のクロスサイトスクリプティングの脆弱性が確認された。複合機のWebインターフェースにおけるURIパラメータの不適切な処理により、攻撃者は任意のJavaScriptコードを実行可能となり、管理者権限を持つユーザーの操作や情報が危険にさらされる可能性がある。

シャープと東芝テック製MFPの脆弱性に関する考察

複合機の脆弱性は、企業の重要な情報資産を扱う機器であるだけに、その影響は深刻である。認証機能の回避やクロスサイトスクリプティングの脆弱性は、組織の機密情報や個人情報の漏洩につながる可能性があり、早急なアップデートの適用が望まれる。セキュリティパッチの適用が困難な環境では、推奨される暫定対策を確実に実施することが重要だ。

今後の課題として、複合機のファームウェアアップデートの自動化や、セキュリティ監視の強化が挙げられる。特に中小企業では、ITリソースの制約からセキュリティ対策が後手に回りがちだが、クラウドベースの管理ツールの導入やマネージドサービスの活用により、効率的なセキュリティ管理が実現できるだろう。

将来的には、AIを活用した異常検知や、ゼロトラストアーキテクチャの考え方を取り入れた新しいセキュリティ機能の実装が期待される。複合機メーカーには、従来の印刷・スキャン機能の改善だけでなく、セキュリティ機能の強化にも注力してほしい。

参考サイト

1. ^ JVN. 「JVNDB-2024-011256 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011256.html, (参照 24-10-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧