コピー機や複合機をネットに繋ぐとどうなる?
ウイルス対策や不正・セキュリティ対策は必要なのか
インターネットを利用している人にとってはおなじみのウイルス対策ですが、コピー機・複合機のウイルス対策について意識している人は、どちらかというと少数派かもしれません。
しかし、現代のコピー機・複合機は、パソコンを通じて不特定多数が使用するネットワークにつながっていることが多いため、セキュリティに無頓着だと悪意のある第三者から何らかの被害をこうむるおそれがあります。
産業機器のIoT化が進む中、オフィス機器にもIoTサービスが導入されており、クラウドネットワークと接続してプリントサービスを利用するユーザーも増えてきています。
そのため、コピー機・複合機のセキュリティ対策をおろそかにしていると、ネットワーク経由でウイルスに感染してしまう可能性があるのです。
仮に、コピー機や複合機にウイルスが感染した段階では実害がなかったとしても、そこからパソコンにウイルスが感染した場合、機密情報がいつの間にか抜き出されてしまうかもしれません。
この記事では、コピー機・複合機をネットにつないだ場合のウイルス感染リスクや、不正・セキュリティ対策の必要性について解説します。
コピー機・複合機はウイルスに影響されるのか?
そもそも、コピー機・複合機は、単体でコンピュータウイルスからの影響を受ける可能性があるのでしょうか。
ウイルス感染自体の事例は少ないものの、過去には不正アクセスから大きな流出事件が起こっていることもあり、決して無防備なまま使用すべきではありません。
インターネットという不特定多数が利用するネットワークに接続する以上、コピー機・複合機のセキュリティ対策は必須と考えてよいでしょう。
本体に感染する可能性は低いとされているが……
コピー機や複合機は、パソコンのように「本体を操作してインターネットに接続する」目的では使われません。
主に、スキャンしたデータを取り込んだり、パソコンからの命令を伝達してデータをプリントアウトしたりするのに用いられます。
例えば、コピー機のディスプレイ・ボタンを操作して、インターネット経由で調べ物をすることはできませんし、仮にできたとしても非常に面倒な作業を要求されるでしょう。
また、Windows・Macintoshに用いられるOSとは異なる種類のOSを各メーカーが採用しているため、本体そのものがウイルスによって使えなくなる可能性は低いとされています。
ただ、その可能性が0%とは言い切れず、単にウイルスをコピー機側から検知できていないだけ、というケースも十分考えられます。
コピー機の性能が高くなり、オフィスで担う役割が増えるほど、感染リスクは高くなるものと考えた方が賢明です。
リスクが高いのはむしろネットワーク
それでは、どのような面でリスクが高いのかというと、コピー機・複合機がインターネットに接続している点が問題になります。
インターネット自体は、世界各国の不特定多数が利用している巨大なネットワークですから、コピー機等につき何のセキュリティ対策もせず放置していると、さながら「ドア・窓を開けっぱなしにして家族全員が外出してしまった家」のような状態になります。
コピー機がこのような状況で利用されていると、当然ながら悪人は家の中に侵入し、せっかく家で大事に保管していた金庫も破られ、大事なもの・貴重品が盗まれます。
会社で言えば、本来なら他者が見ることのできない機密事項・個人情報などがこれに該当し、最終的にはパソコンから社内ネットワークまで筒抜けの状態になってしまうのです。
2013年11月の「流出事件」
かつて、日本国内の大学において、大規模なデータ流出事件が起こりました。
複合機で読み取った情報が、インターネット上で誰でも閲覧できる状態になっていたのです。
この事件は2013年11月に起こりましたが、それ以前から専門家は複合機の脆弱性を指摘しており、ある意味では起こるべくして起こった事件として伝えられました。
流出の原因となったのは、複合機内に搭載された簡素な構成のWebサーバー「EWS(Embedded Web Server)」です。
EWSは、複合機だけでなく、IP電話機やテレビ会議システムなどにも搭載されています。
主に、メーカーのシステムと連携して、通信を通してメンテナンス等に必要な情報をやり取りするなどの目的で用いられます。
ただ、Webサーバーである以上、インターネットに接続されていれば情報が閲覧できる状況にあるため、セキュリティ対策を講じていなければ情報が筒抜けになります。
多くの会社では、コピー機の管理を総務部門が担当するため、あまり専門的なセキュリティの知識を持たないまま管理しているケースも少なくありませんでした。
このような脆弱性を突いて、悪意のある第三者がコピー機にアクセスし、言わば不正アクセスの「踏み台」として利用しました。
その結果、複合機内部の情報が盗み見られてしまう結果を招いてしまったのです。
コピー機・複合機をウイルスから守るためにできること
個人情報保護・機密情報漏洩防止のためには、やはりコピー機・複合機をウイルスや不正アクセスの脅威から守る必要があります。
以下に、具体的な対策についてご紹介します。
ネットワークへの接続を最小限にする
もっとも基本的な対策としては、コピー機・複合機のネットワークへの接続を最小限にする方法があげられます。
そもそも、コピー機等がインターネットに接続されていなければならないタイミングは限られており、常時オンラインである必要はありません。
オフィスワークを円滑に進めるためには、パソコンとコピー機等を接続しておいた方が便利ですが、接続するパソコンの数を制限することは難しくありません。
ICカード認証機能などを使えば、あらかじめ登録されているユーザー以外がコピー機等を使用できないよう、利用者を制限することができます。
パスワード管理を徹底する
普段の業務でコピー機等を使用する場合、各種パスワードの入力を求められることはない会社が多いでしょう。
しかし、管理者メニューを利用する場合は、特定のパスワード入力が必要です。
管理者メニューのパスワードは、各メーカーの機器で初期設定値が決まっています。
極端な話「000000」や「111111」といった、非常に単純なパスワードから変更されていないケースもあります。
不正を試みる人間は、ほぼ間違いなくその事実を知っています。
単調なパスワードを試してヒットしたら、そこからコピー機等の内部に保存されている情報を閲覧したり、取り出したりすることができるようになるのです。
コピー機等の管理者メニューパスワードは、必ず初期設定から変更し、パスワードを管理する専任者を決めておきましょう。
ウイルス対策を強化する
先にお伝えした大学での情報流出事件など、コピー機等の脆弱性が判明する前から、各メーカーは脆弱性をカバーするセキュリティ対策を用意していました。
具体的には、ファイアウォールの設定・IDやパスワードの変更など、パソコンの基本的なウイルス対策にも用いられる手法です。
コピー機等は精密機器に数えられるものの、オフィスユースでは比較的かんたんな操作で限られた用法でしか用いられないため、そのような自覚を持たずに利用しているユーザーも少なくありません。
極端な話をすれば「ボールペンなどの事務用品と同じもの」という感覚でとらえている人もいるため、もともとセキュリティ対策の対象外として認識している人が多いのが一番の問題と言えます。
コピー機経由での不正・ウイルス感染を防止するためには、管理する側がこのような認識を改め、外部ネットワークとコピー機等を接続する際には、必ずファイアウォールを経由させるよう設定し直すことが必要です。
通信を暗号化する
ウイルス対策・不正閲覧防止という観点から考えると、SSLなど通信の暗号化も効果的な方法です。
暗号化通信を導入できれば、通信途中のデータ盗聴・内容の解析および改ざんを防止できます。
ネットワークを使った通信において、情報の伝達は数字の「0・1」を使った2進数が用いられています。
比較的構造が単純であることから、専門的な知識を持っている人間が情報を読み解こうと試みれば、0と1の羅列から情報の中身をチェックすることは難しくありません。
通信を暗号化できれば、このような単純な情報伝達に「鍵」となる暗号をかけられるため、パソコンとコピー機等の間でやり取りする情報が第三者から理解できなくなります。
実在の言語で例えれば、日本語の会話をラテン語に翻訳してやり取りするようなもので、ネットワーク上の通信セキュリティを高めることができます。
こうした設定は、各メーカーで設定方法を公開しているため、導入時に確認しておくとよいでしょう。
もちろん、導入後に設定することもできます。
複合機そのものを変える
最後の手段としては、現在使用している複合機そのものを、最新のものに交換してしまうという方法があります。
各種セキュリティの設定などが面倒な場合、とりあえずリスクだけを洗い出しておいて、それらを解消できる設定を導入時に依頼する条件で、代理店を経由して乗り換え・買い替えを行う形です。
スタートの段階で、わずらわしい入力等を一通り行ってもらえるなら、あとは事前に打ち合わせたパスワード・設定のまま利用できます。
ただ、設定をすべて任せてしまうと、各種設定の内容について自社以外の人間が知っていることになりますから、設定の流れを教えてもらった後、結局パスワード等は自社側で別途変更する必要があります。
この記事のまとめ
以上、コピー機・複合機をインターネットに接続した場合のリスクや、ウイルス・不正へのセキュリティ対策についてお伝えしました。
コピー機等は精密機器ですから、各メーカーも情報漏洩などのリスクに備えるため様々な機能を搭載しているのですが、肝心のユーザー側に周知されていないことが問題と言えます。
言うまでもなく、コピー機等を経由してトラブルが起こった場合、泣きを見るのは自社の側です。
メーカー側にセキュリティ体制の構築を任せるのではなく、自社の大事な情報を守るために何ができるのかを考えて、適宜対策を講じることが大切です。