複合機から個人情報がネットに流出

(1/1)
職場や学校には、コピー、ファクス、スキャナ機能を備えたデジタル複合機があるでしょう。最近の機種はインターネット接続が基本ですが、初期状態のままだとネットから情報を盗み見されてしまうといいます。

事件

デジタル複合機
2013 年(平成 25 年)11 月、東京大医科学研究所、東北大学、琉球大学で、ファクスやスキャナーなど複合機で読み取った情報が、インターネット経由で誰でも閲覧できる状態になっていたことが明らかになりました。

情報が公開状態になっていたのは、リコー、富士ゼロックス、シャープの複合機でした。これらのメーカーの複合機は初期設定のままだと情報が外部から閲覧できる状態となるのですが、大学側は「知らなかった」と説明しています。

東京大学医科学研究所では付属病院の看護師が、血友病の看護に関して答えたアンケート内容や、研修の受講者名のほか、研究員が非常勤講師として採点した東邦大の学生の試験結果など約 120 人分の個人情報が見られる状態になっていました。
東北大学では、学生らの免許証や住民票、健康診断の問診票など。中には、奨学金申請の書類もあり、学生の名前や携帯電話番号、親の就労状況なども記載されていました。

琉球大学では期末試験を受けた学生95 人分の答案用紙が見える状態になっていました。

宮崎大学では 16 台の複合機がインターネットに公開状態となっており、経費や公用車の使用予定、寮生とみられる人の名前が記された文書ファイル名が閲覧可能な状態に有馬h した。

背景

なぜ初期設定でインターネットと接続できる状態になっているのでしょうか。

法人税の特例の中に「中小企業者等が機械等を取得した場合の特別償却」という制度があります。
これは、対象資産を事業に供した場合に、通常の減価償却に加えて取得価額の 30%の特別償却を認める制度である。この対象資産の中に「インターネットに接続されたデジタル複合機」が明記されているためと考えられます。つまり、インターネットに接続された複合機は取得価額の 30%の特別償却が認められ、企業にとって節税となるのです。

もちろんスキャンしたデータを電子メールで外部に送信するときにも役立ちますが、これは PC経由でメールに添付して送れば代用可能なので、絶対必要な機能とは言えません。
それよりも、メーカーにとって、リモート点検する際の利便性が大きいのではないでしょうか。いちいち現地へ赴かなくても問題を把握できるし、さらには顧客の複合機の利用状態を掌握できるからです。

対策

対策としては、安易にインターネットに接続しないことです。
複合機を設置する際、業者に設定を頼んでおきましょう。

IPA では、次のような対策を実施するよう注意喚起しています。
  1. 管理の明確化
    1. オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知させる。
    2. オフィス機器の管理者を明確にする。
  2. ネットワークによる保護
    1. 必要性がない場合には、オフィス機器を外部ネットワーク(インターネット) に接続しない。
    2. 外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールやブロードバンドルータを経由させ、許可する通信だけに限定する。
  3. オフィス機器の適切な設定
    1. 管理者用アカウント/パスワードを工場出荷時に設定されているものから変更する。
    2. 機器の製品のホームページを確認し、ソフトウェアを最新の状態に更新する。

参考サイト

(この項おわり)
header