「情報漏えい、当社に関係なし」の嘘（第5回） 複合機のデータが外部から「丸見え」

　情報セキュリティー対策の重要性が叫ばれる昨今、何らかの対策を講じるのはもはや常識だ。しかし、対策が必要なのはパソコンだけではない。例えばオフィスの一角に置かれたファクスやプリンターなどの機能を備える複合機も、場合によっては重大な情報漏えいを引き起こす原因になってしまうのだ。

複合機に残ったデータが外部から「丸見え」に

　情報セキュリティー対策の目的は「情報漏えいを防ぐ」ことにある。その方法は各種あるが、基本的にはパソコン、サーバー、スマートフォンなどのいわゆる情報通信機器が対象だ。これらの機器はインターネットを通じて外部と通信するので、データが流出しないよう常に注意して対策を講じる必要がある。

　ところで、オフィスには上記のほかにもさまざまな機器がある。例えばコピー機やファクス、プリンターといった装置も通信機能を持った情報機器だ。最近ではこれらを一体化した複合機が広く普及しており、多くの企業で活躍している。

　この複合機が情報漏えいの原因となる事件が発生し、問題になったのをご存じだろうか。2013年、東京大学医科学研究所に設置された少なくとも2台の複合機で、個人情報がインターネット上で閲覧できる状態になっていたのが分かった。大学は直ちにアクセス制限などの対策を行ったが、日ごろから厳重に管理されていると思われていた教育機関で発生したことに加え、複合機という「盲点」を突かれた形が注目された。複合機の情報セキュリティー対策を指摘する声が高まっている。

対策の遅れが情報流出の被害を拡大

　東大での事案を契機に、全国の教育機関は従来の対策見直しに着手した。しかし、残念ながらその成果は十分とはいえないようだ。朝日新聞が行った調査（2016/1/6 朝日新聞朝刊掲載）で、全国の大学など26校・計140台の複合機のデータが外部から「丸見え」になっている事態が判明したのである。「蓄積された文書や画像を第三者が取り出したり、文書の表題（ファイル名）を読んだりできる状態にあった」という。この調査は教育機関だけを対象にしているので、実際には企業や自治体などに設置されたさらに数多くの複合機が、深刻な脅威にさらされているものと思われる。

　ここで気になるのは、危険性が指摘された状況でなぜ対策が進まないのかという点だ。教育機関は大量の研究データや個人情報を扱う。他業界に比べて情報セキュリティー対策に関する意識が高いとされる。今回問題が発覚した大学でも、不正アクセスを防ぐファイアウォールやウイルス検知ソフトは導入されていた。しかし、その中で複合機は「事務機」として捉えられたのか、パソコンと同等の対策が行われていたとは言い切れない部分があった。複合機を情報機器として扱うという認識が不十分だったといえるだろう。

直ちに複合機に情報セキュリティー対策を施す

　オフィスにおける複合機の役割は、コピー、ファクス、プリンターが中心だ。さらに最近ではスキャナーやデータの保存・転送機能を備えた製品も登場し、ますます便利な存在になりつつある。では、複合機が持つ危険性とはどのようなものだろうか。

　現在発売されている複合機の多くは、コピーした文書やプリントしたデータを本体内に保存する。これは繰り返し何枚も出力する場合などに使う機能だが、そのデータが外部から見られるようになっていたのが先に挙げたケースだ。また、LANを経由して通信するためにIPアドレスが付けられた複合機には通信機能をつかさどるWebサーバーが本体に内蔵され、実はパソコンと同じようにデータをやり取りできる。

　このサーバーが不正アクセスを受けると、場合によっては複合機が「踏み台」となり、さらなる被害をもたらす加害者になってしまうのだ。これは以前からパソコンやサーバーで指摘されているが、複合機も同様の危険性を持っているのである。言い換えれば、悪意を持つ者にとって情報セキュリティー対策が未実施の複合機は「かっこうの的」なのだ。

　各複合機メーカーも情報セキュリティー対策機能を強化した製品を続々と発表している。複合機を事務機器として扱う企業では、管理や設定を総務など情報システム以外の部署が担当している場合も多い。これでは体制に重大な欠陥を抱えたままだ。もう一度オフィスにある複合機をじっくり見直して、十分な情報セキュリティー対策が行われているか確認してみよう。