JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月15日、「JVNVU#96195138: シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性」において、シャープの複数のデジタル複合機に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって対象となるデジタル複合機おいて任意のコマンドが実行される危険性があるとされており注意が必要。

  • 弊社複合機におけるセキュリティ脆弱性について|オフィスソリューション:シャープ

    弊社複合機におけるセキュリティ脆弱性について|オフィスソリューション:シャープ

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトは次のとおり。

  • BP-70C65
  • BP-70C55
  • BP-70C45
  • BP-70C26
  • BP-60C36
  • BP-60C31
  • BP-60C26
  • BP-50C65
  • BP-50C55
  • BP-50C45
  • BP-40C36
  • BP-40C26
  • MX-8081
  • MX-6171
  • MX-5171
  • MX-4171
  • MX-3661
  • MX-3161
  • MX-2661
  • MX-6151
  • MX-5151
  • MX-4151
  • MX-3631
  • MX-2631
  • BP-30C25
  • MX-6170FN
  • MX-5170FN
  • MX-4170FN
  • MX-6170FV
  • MX-5170FV
  • MX-4170FV
  • MX-6150FN
  • MX-5150FN
  • MX-4150FN
  • MX-3650FN
  • MX-3150FN
  • MX-2650FN
  • MX-6150FV
  • MX-5150FV
  • MX-4150FV
  • MX-3650FV
  • MX-3150FV
  • MX-2650FV
  • MX-3630FN
  • MX-2630FN
  • MX-C306W
  • MX-C305W
  • BP-70M90
  • BP-70M75
  • BP-70M65
  • BP-70M55
  • BP-70M45
  • MX-M1206
  • MX-M1056
  • MX-M7570
  • MX-M6570
  • MX-M6071
  • MX-M5071
  • MX-M4071
  • MX-M3531
  • BP-30M35
  • BP-30M31
  • BP-30M28
  • BP-30M31L
  • MX-M6070
  • MX-M5070
  • MX-M4070
  • MX-B455W

この脆弱性は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System) v3のスコア値で9.1と分析されており、深刻度は緊急(Critical)と評価されている。

複合機の管理者パスワードが工場出荷時の初期値のままの場合、サイバー攻撃者によって脆弱性が悪用される危険性がある。シャープはファームウェアのアップデート実施を推奨しているが、一時的な回避策としてデバイスをインターネットに直接接続しないこと、デバイスの管理者パスワードを工場出荷時の初期値から変更して適切に管理することも挙げている。

JPCERT/CCは、開発者の提供する情報に基づいてアップデートを適用することを推奨している。