弊社カラー複合機におけるPass Back 攻撃の脆弱性について
お客様各位
平素は当社製品をご利用いただき誠にありがとうございます。
対象の製品にセキュリティ脆弱性が存在することが判明しました。問題の概要、ならびに対応方法についてご説明いたします。
なお、本件脆弱性を悪用したセキュリティ被害は、現状まで確認されておりません。
| 参照識別番号 | CVSSv3.1 基本評価 | スコア | 脆弱性内容 |
|---|---|---|---|
| CVE-2025 6081 | CVSS:3.1 /AV:N/AC:L/PR:H/ UI:N/S:C/C:H/I:N/A:N |
6.8 | デバイスに設定された外部サービスの認証情報が 漏えいする可能性がある。 |
| 製品名 | 対象バージョン | 対策予定 |
|---|---|---|
| MFX-C7360(N)/C7365/C7300(N)/C7305/C7250(N)/C7255 MFX-C5280/C5220(K) |
すべてのバージョン | ファームウェア変更を検討中 |
| MFX-C3690(N)/C3090(N)/C2590(N) MFX-C2860(N)/C2260(N/NK) |
すべてのバージョン | ファームウェア変更を検討中 |
発生条件
- LDAP またはSMTP 認証を使用するか、スキャン先(SMB 、FTP 、WeDAV) がアドレス帳に登録されている。
- 攻撃者が複合機のWeb Connection またはパネルにアクセスできる。
- 攻撃者が管理者パスワードを入手している。または、管理者パスワードがデフォルト値のままになっている
- 攻撃者は複合機に物理的にアクセスでき、スキャンを送信できる。あるいは、攻撃者はリモートパネルを使用して同じ操作をリモートで実行できる
- 攻撃者がネットワーク内に攻撃用のサーバーを設置できる。
MFPへの影響
製品に設定されたLDAP、SMTP、FTP、SMB接続などの認証資格情報を取得できる可能性があります。
解決策
対策ファームウェアのリリースをお待ちください。それまでの間、次の回避策を適用することを検討してください。
回避策
- 管理者パスワードがデフォルト設定のままの場合は、推測されにくいパスワードに変更してください。
[設定メニュー]-[管理者]-[セキュリティ]-[管理者パスワード設定] - 以下の設定を[禁止]に設定します。
[設定メニュー]-[管理者]-[セキュリティ]-[ユーザー操作禁止設定]-[登録宛先の変更]を[禁止]に設定します。 - 複合機に登録して使用するアカウントは、必要最小限の権限に設定する。
今回の脆弱性も含め、一般的なセキュリティリスクを低減するため、各種セキュリティ設定の利用を推奨いたします。
- 管理者パスワードが初期設定のままになっている場合は、推測されにくいパスワードへ変更する
- 複合機に設定するIPアドレスは、プライベートIPアドレスを設定し、ファイアーウォールなどで保護されたネットワークの中で利用する。
- IPアドレスフィルタリング機能で複合機にアクセス可能なネットワークの範囲を制限する
- ユーザー認証機能で複合機の利用者を制限し、パブリックユーザーを許可しない。
本件に関するお問い合わせ先
| インフォメーションセンター | 0120-610-917 FAX 0120-610-982 |
受付時間 月~金曜日(土日祝日・年末年始を除く) 9:00~17:30 |
以上