HP社のプリンターに脆弱性を発見、遠隔操作で着火される可能性を研究者が指摘

By dustball

コロンビア大学の研究者たちによればヒューレット・パッカード社から発売されている一部のプリンターはハッカーによってリモートからアクセス可能な脆弱性を備えているとのこと。研究者による実験では外部からのアクセスで個人情報を盗むことができるほか、フューザーカートリッジを加熱し着火できる可能性があるという指摘がなされました。

Exclusive: Millions of printers open to devastating hack attack, researchers say - Red Tape
http://redtape.nbcnews.com/_news/2011/11/29/9076395-exclusive-millions-of-printers-open-to-devastating-hack-attack-researchers-say

研究はコロンビア大学教授のSalvatore Stolfoさんと大学院生のAng Cuiさんによるもので、MSNBCに向けてHP社のレーザージェットプリンターにマルウェアをインストールするというデモンストレーションが行われました。HP社のプリンターの一部はデジタル署名をチェックせずにファームウェアのアップデートが可能となっているため、悪意あるソフトウェアがインストールされてしまう可能性があるのです。ファームウェアの書き換えに要する時間はたったの30秒で、一度プリンターにウィルスが仕掛けられてしまうと発見することも不可能。2009年以降に発売されたレーザージェットプリンターやインクジェットプリンターに脆弱性はないのですが、脆弱性を備えたプリンターもいまだオフィスなどで使用されており、Stolfoさんは「これは施錠するための鍵を売らずに車を売っているようなもので、非常に危険だ」と話しています。

外部からのアクセスに対する脆弱性の実験では、Stolfoさんらはコンピューターを乗っ取り、フューザーカートリッジを熱して紙を焦がすというデモンストレーションを行ないました。

実際に行われたデモンストレーションの様子は以下のムービーからも見ることができます。

"Print Me if you Dare," Columbia University Intrusion Detection Systems Lab - YouTube


実験では安全機能が働いてプリンターがシャットダウンしたため発火には至らなかったのですが、ハッカーが利用すればプリンターがハッキングのツールとなるだけでなく、着火装置になる可能性もあるとMSNBCは語っています。なお、以下が焦げて茶色くなったプリンター用紙。

こちらが研究を行うSalvatore StolfoさんとAng Cuiさんです。

また研究者たちは、コンピューターをハックして確定申告書や刑事上の重要な文書を送るといったデモンストレーションも行いました。この脆弱性を利用すれば何千というプリンターを使用できない状態にしたり、知らぬ間にコンピューターがボットネットに加担していたりすることも考えられます。

National Vulnerability Database (NVD)による調査でさらなるリモートコントロールに関する脆弱性が明らかになりましたが、研究の公式発表はまだ行われておらず、Stolfoさんによれば「現在準備中」とのこと。

当初HP社は、2009年以降に作られたHP社のプリンターはファームウェアのアップグレードの際にデジタル署名のチェックを必要としており、インクジェットプリンターの場合はそもそもリモートの操作によるアップグレードができないこと、また、ファイヤーウォールを通したプリンターには脆弱性がないことを理由に研究者らの主張を否定していましたが、後にセキュリティ上の脆弱性があることを認めました。しかし、ハッキングによってプリンターが着火されるという点に対しては「HP社のレーザージェットプリンターには「サーマル・ブレーカー」と呼ばれるシステムがあり、フューザーカートリッジがオーバーヒートして発火することを防いでいます。脆弱性があるからといってただちに発火と結びつくわけではありません」と言っています。