お知らせ

弊社複合機におけるセキュリティ脆弱性について

2024年10月25日
2024年10月31日更新

平素は、シャープのデジタル複合機をご愛用いただき、誠にありがとうございます。

この度、弊社が製造しました一部のデジタル複合機に関しまして、複数のセキュリティ上の脆弱性が存在することがわかりました。脆弱性の概要、対象製品につきましては、下記の表をご覧ください。

当該製品をご愛用いただいておりますお客様に多大なご迷惑をおかけしますことを深くお詫び申し上げます。

脆弱性識別番号

JVNVU#95063136 / CVE IDは下記「詳細情報」をご覧ください。

該当する製品名およびバージョン

下記の別表をご覧ください。

詳細情報

CVE-2024-42420: 複合機内部のWebサーバーにおいて領域外のメモリ参照を引き起こし、ハングアップを発生させるおそれがある
CVE-2024-43424: 複合機内部のWebサーバーにおいて領域外のメモリ参照を引き起こし、ハングアップを発生させるおそれがある
CVE-2024-45829: 複合機内部のWebサーバーにおいて領域外のメモリ参照を引き起こし、ハングアップを発生させるおそれがある
CVE-2024-45842: 複合機内部のWebサーバーにおいてパストラバーサル実行可能なページが存在する
CVE-2024-47005: 複合機内部のWebサーバーにおいてアクセス権が適切でないAPIが存在する
CVE-2024-47406: 複合機内部のWebサーバーにおいて認証機能を迂回できる経路が存在する
CVE-2024-47549: 複合機内部のWebサーバーにおいてHTTP ヘッダインジェクション実行可能なページが存在する
CVE-2024-47801: 複合機内部のWebサーバーにおいてクロスサイトスクリプティング実行可能なページが存在する
CVE-2024-48870: 複合機内部のWebサーバーにおいてクロスサイトスクリプティング実行可能なページが存在する

攻撃が行われる条件

本脆弱性を利用した攻撃が成立するためには、

● 攻撃者が対象の複合機にネットワーク経由で接続可能であること
● 攻撃者がユーザーによる通常の操作では知り得ない情報を知っていること

が条件となります。上記以外のケース(ネットワーク接続が適切に保護されている状態等)においては、本脆弱性によるネットワークからの攻撃の影響はありません。

発生しうる影響

① 悪意のある攻撃者により、複合機のWebページへのHTTPリクエストを改ざんすることで複合機をハングアップさせられるおそれがあります。
② 悪意のある攻撃者により、複合機の一部の機能に対し意図しない権限でアクセスが可能となります。
③ 悪意のある攻撃者により、複合機のWebページの認証機構を迂回してアクセスされるおそれがあります。
④ 悪意のある攻撃者により、複合機のWebページにおいて、情報漏洩等を引き起こしうるスクリプトを埋め込まれるおそれがあります。
(注) 一部機種では対象外となるものがあります。詳しくは、「影響を受ける機種と対応状況」をご参照ください。

回避策

お客様がお使いの環境においては、本脆弱性の利用を含む、複合機に対しての攻撃の可能性を低減するために、早急に以下の対策をお願いします。

● 複合機をインターネットに直接接続せず、ファイアウォールやルーター等で保護されたネットワーク内で使用する。
● パスワードにより複合機のWebページへのアクセスを制限する(本設定は工場出荷値で有効になっています)
● 複合機の管理者パスワードを工場出荷時の初期値から変更し、適切に管理する。
● 監査ログを定期的に確認し、不審なアクセスの形跡がないかチェックする。

上記対策を講じることで、悪意のある第三者により対象の複合機に攻撃が行われ、複合機を起動不能にする、複合機内の情報を漏えいする、などの被害を受けるリスクを低減することができます。

ご参考: シャープデジタル複合機インターネットからの不正アクセス防止のための対策手順書
https://jp.sharp/business/print/solution/security/state1.html#setupGuide

対応方法

下記「影響を受ける機種と対応状況」をご覧ください。
表1の対策ファームウェアを提供可能な機種につき、ご用命のお客様は、お手数ですが製品をお買い上げの販売店、またはお客様ご相談窓口までご相談ください。
表2の機種につきましては、すべてのファームウェアバージョンが影響を受けますが、ファームウェアのサポートを終了しております。上記回避策を実行いただくか、製品のご利用停止や後継機種への移行をご検討いただきますようお願いいたします。

お客様ご相談窓口:
シャープマーケティングジャパン株式会社ビジネスソリューション社、沖縄シャープ電機株式会社
https://jp.sharp/business/print/contact/index-support.html

情報

JVNVU#95063136:
シャープ製および東芝テック製の複合機(MFP)における複数の脆弱性
CVE:

■影響を受ける機種と対応状況

表1: 対策ファームウェアは、下表の機種について提供可能です。

種別	機種名	影響を受けるファームウェアバージョン(注) ※ファームウェアバージョンの上2～4桁目をご確認ください。
デジタルフルカラー複合機	BP-70C65/BP-70C55/BP-70C45/BP-70C26/ BP-60C36/BP-60C31/BP-60C26/ BP-50C65/BP-50C55/BP-50C45/ BP-40C36/BP-40C26	“320”以前
MX-8081	“160”以前
MX-6171/MX-5171/MX-4171/ MX-3661/MX-3161/MX-2661/ MX-6151/MX-5151/MX-4151/ MX-3631/MX-2631	“613”以前
BP-30C25	“130”以前
MX-6170FN/MX-5170FN/MX-4170FN/ MX-6170FV/MX-5170FV/MX-4170FV	“802”以前
MX-6150FN/MX-5150FN/MX-4150FN/ MX-3650FN/MX-3150FN/MX-2650FN/ MX-6150FV/MX-5150FV/MX-4150FV/ MX-3650FV/MX-3150FV/MX-2650FV/ MX-3630FN/MX-2630FN	“802”以前
BP-C533WD/BP-C533WR	“262”以前
MX-C306W/MX-C305W	“520”以前
デジタル複合機(モノクロ)	BP-70M90/BP-70M75	“310”以前
BP-70M65/BP-70M55/BP-70M45	“320”以前
MX-M1206/MX-M1056	“200”以前 (データセキュリティキットMX-FR66U装着の場合: “210”以前)
MX-M7570/MX-M6570	“456”以前
MX-M6071/MX-M5071/MX-M4071/ MX-M3531	“413"以前
BP-30M35/BP-30M31/BP-30M28/ BP-30M31L	“220”以前
MX-M6070/MX-M5070/MX-M4070	“503”以前
MX-B455W	“404”以前 (データセキュリティキットMX-FR59U装着の場合: “405”以前)

種別

機種名

影響を受けるファームウェアバージョン(注)
※ファームウェアバージョンの上2～4桁目をご確認ください。

デジタルフルカラー複合機

BP-70C65/BP-70C55/BP-70C45/BP-70C26/
BP-60C36/BP-60C31/BP-60C26/
BP-50C65/BP-50C55/BP-50C45/
BP-40C36/BP-40C26

“320”以前

MX-8081

“160”以前

MX-6171/MX-5171/MX-4171/
MX-3661/MX-3161/MX-2661/
MX-6151/MX-5151/MX-4151/
MX-3631/MX-2631

“613”以前

BP-30C25

“130”以前

MX-6170FN/MX-5170FN/MX-4170FN/
MX-6170FV/MX-5170FV/MX-4170FV

“802”以前

MX-6150FN/MX-5150FN/MX-4150FN/
MX-3650FN/MX-3150FN/MX-2650FN/
MX-6150FV/MX-5150FV/MX-4150FV/
MX-3650FV/MX-3150FV/MX-2650FV/
MX-3630FN/MX-2630FN

“802”以前

BP-C533WD/BP-C533WR

“262”以前

MX-C306W/MX-C305W

“520”以前

デジタル複合機(モノクロ)

BP-70M90/BP-70M75

“310”以前

BP-70M65/BP-70M55/BP-70M45

“320”以前

MX-M1206/MX-M1056

“200”以前
(データセキュリティキットMX-FR66U装着の場合: “210”以前)

MX-M7570/MX-M6570

“456”以前

MX-M6071/MX-M5071/MX-M4071/
MX-M3531

“413"以前

BP-30M35/BP-30M31/BP-30M28/
BP-30M31L

“220”以前

MX-M6070/MX-M5070/MX-M4070

“503”以前

MX-B455W

“404”以前
(データセキュリティキットMX-FR59U装着の場合: “405”以前)

(注) ファームウェアバージョンの確認方法は以下の通りです。管理者でのログインが必要となります。

● 複合機の操作パネルからの場合、ホーム画面から「設定」アイコンを押す。
お使いのパソコンから複合機にネットワーク接続する場合、お使いのWebブラウザで複合機のデバイスWebページにアクセスする。
● [ステータス]タブを押す。
[ファームウェアバージョン]を押す。
●「BUNDLE」の後に表示された16桁の英数字(2つの8桁の英数字がアンダーバー”_”で連結されています)がファームウェアバージョンです。(例: 0510Z200_22040400)

表2: 以下の機種につきましては、「発生しうる影響」②③は対象外です。ファームウェアのサポートを終了しておりますので、上記回避策を実行いただくか、製品のご利用停止や後継機種への移行をご検討いただきますようお願いいたします。

種別	機種名
デジタルフルカラー複合機	MX-6540FN
MX-5141FN/MX-5140FN/MX-4141FN/MX-4140FN
MX-3640FN/MX-3140FN/MX-2640FN
MX-5111FN/MX-5110FN/MX-4111FN/MX-4110FN
MX-3610FN/MX-3110FN/MX-2610FN
MX-C302W
MX-3611F/MX-3111F/MX-2312F/MX-2310F
MX-C381FX/MX-C381/MX-C312/MX-C310FX/MX-C310/ MX-C380P/DX-C310P/MX-C312SC
MX-5001FN/MX-5000FN/MX-4101FN/MX-4100FN/MX-3600FN
MX-3100FN/MX-3100FG/MX-2600FN/MX-2600FG
MX-3117FN/MX-2517FN
MX-3614FN/MX-3114FN/MX-2514FN
MX-3112FN/MX-2311FN
MX-2301FN
MX-2020F
デジタル複合機(モノクロ)	MX-M1204/MX-M1054/MX-M904
MX-M754FN/MX-M654FN
MX-M565FN/MX-M465FN/MX-M365FN
MX-M564FN/MX-M464FN
MX-M356FP/MX-M316FP/MX-M266FP/MX-M316G/ MX-M356FV/MX-M316FV/MX-M266FV/MX-M316GV
MX-M354FP/MX-M314FP/MX-M264FP
MX-B382/MX-B382P/MX-B382SC
MX-M753/MX-M623
MX-M503N/MX-M363N/MX-M283N/ MX-M503F/MX-M423F/MX-M363F

種別

機種名

デジタルフルカラー複合機

MX-6540FN

MX-5141FN/MX-5140FN/MX-4141FN/MX-4140FN

MX-3640FN/MX-3140FN/MX-2640FN

MX-5111FN/MX-5110FN/MX-4111FN/MX-4110FN

MX-3610FN/MX-3110FN/MX-2610FN

MX-C302W

MX-3611F/MX-3111F/MX-2312F/MX-2310F

MX-C381FX/MX-C381/MX-C312/MX-C310FX/MX-C310/
MX-C380P/DX-C310P/MX-C312SC

MX-5001FN/MX-5000FN/MX-4101FN/MX-4100FN/MX-3600FN

MX-3100FN/MX-3100FG/MX-2600FN/MX-2600FG

MX-3117FN/MX-2517FN

MX-3614FN/MX-3114FN/MX-2514FN

MX-3112FN/MX-2311FN

MX-2301FN

MX-2020F

デジタル複合機(モノクロ)

MX-M1204/MX-M1054/MX-M904

MX-M754FN/MX-M654FN

MX-M565FN/MX-M465FN/MX-M365FN

MX-M564FN/MX-M464FN

MX-M356FP/MX-M316FP/MX-M266FP/MX-M316G/
MX-M356FV/MX-M316FV/MX-M266FV/MX-M316GV

MX-M354FP/MX-M314FP/MX-M264FP

MX-B382/MX-B382P/MX-B382SC

MX-M753/MX-M623

MX-M503N/MX-M363N/MX-M283N/
MX-M503F/MX-M423F/MX-M363F

ページのトップへ戻る