弊社カラー複合機におけるWeb Connection のDoS 脆弱性の影響について
お客様各位
平素は弊社製品をご利用いただき誠にありがとうございます。
対象の製品にセキュリティ脆弱性が存在することが判明しました。問題の概要、ならびに対応方法についてご説明いたします。なお、本件脆弱性を悪用したセキュリティ被害は、現状まで確認されておりません。
| 参照識別番号 | CVSSv3.1 基本評価 | スコア | 脆弱性内容 |
|---|---|---|---|
| CVE-2025 54777 | CVSS:3.1 AV:A/AC:L/PR:N/ UI:N/S:U/C:N/I:N/A:L |
4.3 | Email宛先登録のS/MIME 用の証明書のインポートで、 不正なファイルをインポートすると Web Connectionが応答しなくなる。 |
| 製品名 | 対象バージョン | 対策予定 |
|---|---|---|
| MFX-C7365/C7305/ C7255 MFX-C7360(N)/C7300(N)/C7250(N) MFX-C5280/C5220(K) |
すべてのバージョン | 検討中 |
| MFX-C3690(N)/C3090(N)/C2590(N) MFX-C2860(N)/C2260(N/NK) |
すべてのバージョン | 検討中 |
攻撃の前提条件
空のファイル(文字が何も入力されていないテキストファイルなど)をWeb Connection でアドレス帳のEmail 宛先登録のS/MIME 用の証明書としてインポートする。
MFPへの影響
Web Connectionが全く応答しなくなる。(Web Connection以外に影響はない。)
復旧方法
本体の主電源をOFF/ONする。
対処方法
対策ファームウェアのリリースをお待ちください。それまでの間、次の緩和方法の実施をご検討ください。
緩和方法
- 管理者パスワードが初期設定のままになっている場合は、推測されにくいパスワードへ変更してください。
操作手順:[設定メニュー]-[管理者]-[セキュリティ]-[管理者パスワード設定] - 管理者以外のユーザーによるアドレス帳の宛先変更を制限してください。
操作手順:[設定メニュー]-[管理者]-[セキュリティ]-[ユーザー操作禁止設定]-[登録宛先の変更]:[禁止]
一般的なセキュリティ推奨事項
今回の脆弱性も含め、一般的なセキュリティリスクを低減するため、各種セキュリティ設定の利用をお客様へ推奨いただきますよう、お願いいたします。
- 複合機に設定するIP アドレスは、プライベートIP アドレスを設定し、ファイアーウォールなどで保護されたネットワークの中でご利用ください。
- IP アドレスフィルタリング機能で複合機にアクセス可能なネットワークの範囲を制限してください。
- 複合機が連携するサービスで使用するアカウントに推測されにくいパスワードを設定してください。
- 使用していないポートやプロトコルを無効にしてください。
- HTTPS、LDAPS、IPPSなど、通信が暗号化されるプロトコルをご使用ください。
- 複合機のログやネットワークトラフィックを定期的に確認し、不審な動作を監視してください。
- ユーザー認証機能で複合機の利用者を制限し、不正なアクセスを防止してください。
本件に関するお問い合わせ先
| インフォメーションセンター | 0120-610-917 FAX 0120-610-982 |
受付時間 月~金曜日(土日祝日・年末年始を除く) 9:00~17:30 |
以上