F-Secure(以下、エフセキュア)は、ヒューレットパッカード(以下、HP)の150モデル以上の多機能プリンター(MFP)製品における脆弱性を発見。その調査結果を発表した。同社からの情報提供に基づき、HPはこれらの脆弱性を修正するパッチを提供しているという。
エフセキュアのセキュリティコンサルタントであるTimo Hirvonen(ティモ・ヒルヴォネン)氏とAlexander Bolshev(アレクサンダー・ボルシェフ)氏は、HPのFutureSmartシリーズの多機能プリンター「MFP M725z」に、物理アクセスポートが露出している脆弱性(CVE-2021-39237)とフォント解析の脆弱性(CVE-2021-39238)を発見。HPが公開しているセキュリティアドバイザリーには、この脆弱性の影響を受ける150種類以上の製品が掲載されているという。
同社リサーチャーたちは、この脆弱性を悪用することは非常に困難であり、低レベルのスキルしか持たない攻撃者では悪用することが難しいと判断しているが、経験豊富で高いスキルを持つ攻撃者であれば、標的型攻撃に用いることができるとしている。
Hirvonen氏は、「最近のMFPは、他のワークステーションやエンドポイントと同様に、攻撃者が侵害できる完全な機能を備えたコンピューターである、ということを私たちは忘れがちです。そして、他のエンドポイントと同様に、攻撃者は侵害されたデバイスを利用して、企業のインフラやオペレーションにダメージを与えることができます。経験豊富なサイバー犯罪者であれば、「保護されていないデバイス=大きなチャンス」と見なします。そのため、MFPの保護が通常のエンドポイントの保護と同様に重要であると認識することのない企業は、今回の調査で報告されたような攻撃にさらされる可能性があるのです」と説明している。
【関連記事】
・エフセキュア、BtoB市場向けに新ブランドを来年投入へ
・不審と報告されるメールの3分の1がフィッシングメール――エフセキュア調査
・エフセキュア、月額課金設定の新サービス「F-Secure Elements」を発表
