Last Updated on 2025-06-26 17:46 by さつき
セキュリティ企業Rapid7は2025年6月26日、Brother製プリンター689モデルを含む5社748モデルの印刷機器に8つの脆弱性を発見したと研究結果を公開した。
最も深刻なCVE-2024-51978はCVSSスコア9.8の重大な脆弱性で、攻撃者が機器のシリアル番号からデフォルト管理者パスワードを生成できる。
この脆弱性は製造プロセスの問題によりファームウェアでは修正不可能で、695モデルが影響を受ける。他の影響企業は富士フイルム46モデル、リコー5モデル、東芝2モデル、コニカミノルタ6モデルである。
Rapid7は2024年5月にBrotherへ報告を開始し、日本のJPCERT/CCが7月から仲介に入った。8月に2025年6月の公開日程が決定された。
Brotherは7つの脆弱性に対するファームウェア更新を公開したが、CVE-2024-51978については管理者パスワード変更による回避策のみ提供している。世界で数百万台のプリンターが影響を受ける可能性がある。
From: 
https://www.darkreading.com/endpoint-security/millions-brother-printers-critical-unpatchable-bug
【編集部解説】
今回のBrotherプリンター脆弱性は、IoTセキュリティの根本的な課題を浮き彫りにしています。最も深刻なCVE-2024-51978は、製造段階でシリアル番号から管理者パスワードを生成するアルゴリズムに起因するもので、ファームウェア更新では修正できません。
これは従来のソフトウェア脆弱性とは性質が異なります。通常の脆弱性はコードの修正で対応できますが、今回は製造プロセス自体の設計思想に問題があるため、根本的な解決には製造ラインの変更が必要となります。
攻撃の手法は比較的シンプルです。攻撃者はまずプリンターのシリアル番号を取得し、Brotherの既知のアルゴリズムを使ってデフォルトパスワードを生成します。研究者のFewerは認証バイパス攻撃の実行を「些細なこと」と表現しており、技術的な難易度の低さが懸念されます。
さらに深刻なのは、Brother製品のエクスプロイトを取引する地下市場が既に存在することです。これは攻撃者コミュニティがBrother製品を標的として認識していることを示しており、今回の脆弱性が悪用される現実的なリスクを高めています。
企業ネットワークにおいて、プリンターは「見落とされがちなエンドポイント」として機能しています。IT管理者はサーバーやPCのセキュリティには注意を払いますが、プリンターのセキュリティ設定は後回しにされがちです。攻撃者はこの盲点を突いて企業ネットワークに侵入し、横展開攻撃の足がかりとして利用する可能性があります。
今回の事案で注目すべきは、日本のJPCERT/CCが国際的な脆弱性開示プロセスで重要な役割を果たしたことです。これは日本企業のグローバルな責任対応の模範例といえるでしょう。
長期的な視点では、この事案はIoTデバイスの「セキュリティ・バイ・デザイン」の重要性を再認識させます。製造段階からセキュリティを組み込む設計思想が、今後のIoT機器開発において必須となることを示しています。
【用語解説】
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0の数値で評価する国際標準システム。9.0以上が「Critical(重大)」、7.0-8.9が「High(高)」、4.0-6.9が「Medium(中)」、0.1-3.9が「Low(低)」に分類される。
CVE(Common Vulnerabilities and Exposures)
公開された脆弱性に割り当てられる識別番号システム。「CVE-年-番号」の形式で表記され、世界共通の脆弱性データベースとして機能する。
認証バイパス(Authentication Bypass)
システムの認証機能を迂回して、本来必要な認証情報なしにアクセス権限を取得する攻撃手法。今回の場合、シリアル番号から管理者パスワードを生成できる脆弱性を指す。
横展開攻撃(Lateral Movement)
攻撃者がネットワーク内の一つのデバイスに侵入した後、そこを足がかりに他のシステムやデバイスへと攻撃範囲を拡大する手法。
SSRF(Server-Side Request Forgery)
サーバーサイドリクエストフォージェリ。攻撃者がサーバーに任意のHTTPリクエストを送信させる攻撃手法で、内部ネットワークへの不正アクセスに悪用される。
スタックバッファオーバーフロー
プログラムのスタック領域に割り当てられたバッファの境界を超えてデータを書き込む脆弱性。攻撃者がシステムの制御を奪取する可能性がある。
エクスプロイト地下市場
サイバー犯罪者が脆弱性を悪用するツールや情報を売買する闇市場。今回Brother製品のエクスプロイトが取引されていることが確認されている。
【参考リンク】
Rapid7公式サイト(外部)
米国ボストンに本社を置くサイバーセキュリティ企業。脆弱性管理、侵入テスト、脅威検知などのソリューションを提供
Brother工業株式会社(外部)
1908年創業の日本の電子機器メーカー。プリンター、ファックス、ミシンなどを製造
JPCERT/CC(JPCERTコーディネーションセンター)(外部)
日本のコンピューターセキュリティインシデント対応機関。脆弱性情報の調整や国際連携を行う
JVN(Japan Vulnerability Notes)(外部)
JPCERT/CCとIPAが共同で運営する脆弱性対策情報ポータルサイト
【参考記事】
Multiple Brother Devices: Multiple Vulnerabilities (FIXED) – Rapid7(外部)
Rapid7による公式技術レポート。8つの脆弱性の詳細な技術分析、影響範囲、修正状況について包括的に解説
New Vulnerabilities Expose Millions of Brother Printers to Hacking – Security Week(外部)
セキュリティ専門メディアによる報道。脆弱性の概要と企業への影響について簡潔にまとめられている
Rapid7 warns of serious vulnerabilities in hundreds of Brother printer models – Cyber Daily(外部)
オーストラリアのサイバーセキュリティメディアによる詳細な分析記事。脆弱性発見の経緯と対応策について報告
【編集部後記】
今回のBrotherプリンター脆弱性は、私たちの身近にあるIoTデバイスのセキュリティについて改めて考えるきっかけになりそうです。オフィスや自宅のプリンター、管理者パスワードはデフォルトのままになっていませんか?
この事案を通じて、皆さんはIoTセキュリティの現状についてどのような課題を感じられるでしょうか。また、製造段階から修正不可能な脆弱性という今回のケースについて、メーカーの責任範囲はどこまでが適切だと思われますか?ぜひコメント欄で皆さんのご意見をお聞かせください。
