脆弱性対応状況

複合機に搭載されたWebサーバーの脆弱性について

弊社製複合機のうち下記商品において、商品本体に組み込まれているWebサーバー機能「CentreWare Internet Services」（以下、CWISと略す）にクロスサイトスクリプティングの脆弱性が発見されました。
今回の脆弱性が悪用された場合、不正なスクリプトが実行されブラウザーの表示結果が意図しないものになる可能性があります。ただし、暗証番号が盗み取られるなどの被害が発生する可能性はありません。また、複合機の基本的な機能への影響はありません。

以下に対象商品および回避策・軽減策をご案内いたします。対象商品をご使用のお客さまには、ご迷惑をおかけいたしますことをお詫び申し上げます。

尚、下記対象商品は2008年8月22日以降、最新のファームウェアにて対応済です。
かつ、対象商品以外の商品は、導入当初よりファームウェアにて対策を実施しておりますので、回避策・軽減策は必要ありません。

対象商品について

カラー複合機

• ApeosPortシリーズ
  
  • ApeosPort-II C7500 / C6500 / C5400
  • ApeosPort-II C4300 / C3300 / C2200
  • ApeosPort C7550 I / C6550 I / C5540 I
  • ApeosPort C4535 I / C3626 I / C2521 I
• DocuCentreシリーズ
  • DocuCentre-II C7500 / C6500 / C5400
  • DocuCentre-II C4300 / C3300 / C2200
  • DocuCentre C7550 I / C6550 I / C5540 I
  • DocuCentre C4535 I / C3626 I / C2521 I
  • DocuCentre Color f450 / f360 / f250 / a450 / a360 / a250
  • DocuCentre C2101

モノクロ複合機

• ApeosPortシリーズ
  • ApeosPort-II 7000 / 6000 / 5000
  • ApeosPort-II 4000 / 3000
  • ApeosPort 750 I / 650 I / 550 I
  • ApeosPort 450 I / 350 I
• DocuCentreシリーズ
  • DocuCentre-II 7000 / 6000 / 5000
  • DocuCentre-II 4000 / 3000
  • DocuCentre 750 I / 650 I / 550 I
  • DocuCentre 450 I / 350 I
  • DocuCentre f1100 / f900 / a1100 / a900
  • DocuCentre f285 / f235 / a285 / a235
  • DocuCentre 9000

対応策について

対象商品の設定を変更することで、本脆弱性を利用したクロスサイトスクリプティングを回避または軽減することができます。

1. CWISをお使いでないお客様
   インターネットサービス(HTTP)ポートを「停止」してください。
   
   [タッチパネルディスプレイを使ってインターネットサービス(HTTP)ポートを停止する具体的な手順]
   1. 「認証(仕様設定/登録)」ボタンを押します。
   2. 「機械管理者―認証」が表示されたら、暗証番号を入力し、「確定」を選択します。
   3. 「機械管理者メニュー」が表示されたら、「仕様設定/登録」を押します。
   4. 「仕様設定」を押します。
   5. 「ネットワーク設定」を押します。
   6. 「ポート設定」を押します。
   7. 「ポート設定」画面で、「インターネットサービス(HTTP)」の現在の設定値を確認します。
      ※工場出荷状態では、「起動」に設定されています。
      ※すでに「停止」になっている場合は、手順の(L)に進んでください。
   8. 「インターネットサービス(HTTP)」を選択し、「確認/変更」を押します。
   9. 「インターネットサービス-ポート」を選択し、「確認/変更」を押します。
   10. 「インターネットサービス-ポート」画面で、「停止」を選択し、「決定」を押します。
   11. 「インターネットサービス-ポートの現在の設定値が、「停止」になっていることを確認します。
   12. 「仕様設定/登録」画面が表示されるまで、「閉じる」を続けて押します。
   13. 「仕様設定/登録」画面が表示されたら、「作業終了」または「閉じる」を押します。
   14. 設定が変更された場合、本機が再起動されます。
2. CWISをお使いになるお客様
   まず、機械管理者のUserID・パスワードを工場出荷時の初期値から変更してください。
   次に、認証モードを「本体認証/集計」または「ネット認証/集計」に変更してお使いください。なお、工場出荷時の状態では、認証モードは「認証しない」に設定されています。
   今回、初めて認証モードをお使いになる場合は、「本体認証/集計」を推奨します。その際、所有者が設定されていない親展ボックスおよびジョブフローは使用できなくなります。認証モードを変更する前に、該当する親展ボックスおよびジョブフローを一旦削除し、機械管理者モードで作成し直すか、該当する親展ボックスおよびジョブフローを一旦削除し、認証モード変更後に再度作成する必要があります。親展ボックスおよびジョブフローの所有者は、以下の手順にて確認できます。
   
   [親展ボックスの所有者を確認する具体的な手順]
   1. 「登録/変更」ボタンを押します。
   2. 「ボックス登録」ボタンを押します。
   3. 該当する親展ボックスの所有者が表示されますのでご確認ください。
   
   [ジョブフローの所有者を確認する具体的な手順]
   1. 「登録/変更」ボタンを押します。
   2. 「ジョブフロー登録」ボタンを押します。
   3. 該当するジョブフローを選択して、「内容確認」ボタンを押すことで所有者が表示されます。
   
   [タッチパネルディスプレイを使って「本体認証/集計」に設定する具体的な手順]
   1. 「認証(仕様設定/登録)」ボタンを押します。
   2. 「機械管理者―認証」が表示されたら、暗証番号を入力し、「確定」を選択します。
   3. 「機械管理者メニュー」が表示されたら、「仕様設定/登録」を押します。
   4. 「認証/集計管理」を押します。
   5. 「認証/集計の運用」を押します。
   6. 「認証/集計の運用」画面で、「本体認証/集計」を選択し、「決定」を押します。
   7. 「認証/集計管理」画面で、「閉じる」を押します。
   8. 「仕様設定/登録」画面が表示されたら、「作業終了」または「閉じる」を押します。
   9. 設定が変更された場合、本機が再起動されます。
   [注意]
   認証モードを「認証しない」から変更することで、各機能をお使いいただくために認証が必要になります。
   認証せずに各機能を使用したい場合には、上記、「本体認証/集計」へ設定する手順の(F)で、「本体認証/集計」を選択した際に表示される、「各機能の認証/集計」および「ボックス操作の認証」をすべて「しない」に設定してください。ただし、機械管理者以外の方がCWISをお使いになる際には、新たに認証が必要になりますので、お使いになるユーザーの登録が必要になります。ユーザーの登録につきましては、各商品のユーザーガイドおよび管理者ガイドを参照してください。
   
   上記以外に、次のような汎用的なセキュリティー対策が導入されている場合には、この脆弱性によるリスクが軽減されます。
   • お使いのネットワークに接続されたコンピューターにおけるウイルス対策ソフトウェアなどによるマルウェア(ウイルスなど不正プログムの総称)の検出および実行防止
   • ファイヤーウォールにより、インターネットなど外部ネットワークから複合機への安全性を確認できないアクセスの禁止
   • フィッシングサイトへのアクセスをブロックするフィルタリングシステムなどの導入

本件に関するお問い合わせ窓口

お電話でのお問い合わせはテレフォンセンターにご連絡ください。テレフォンセンターの電話番号は、機械に貼付してあるカードまたはシールに記載されています。
カードまたはシールの説明は、こちらをご参照ください。

なお、お問い合わせ先が不明な場合は、お客様相談センターにお問い合わせください。