脅威の事例

事例 2

複合機の設定が不正に変更された

複合機の設定が不正に変更され、利用できなくなった。

多くの複合機にはWebサーバー機能があり、Webブラウザーによって各種設定の変更や、複合機のストレージに保存した文書を閲覧できます。しかし、この権限は限られたメンバー（管理者）にのみ付与される必要があるため、管理者パスワードが設けられています。単純で推測可能なパスワードが設定されていたり、工場出荷時の初期パスワードが変更されていない場合、パスワードやアクセス権限などを含む設定を、不正に変更され、管理者や利用者が複合機を利用できなくなる恐れがあります。

経営リスク
▼▼▼取引会社との取引停止までに発展する可能性がある▼▼▼
（機会損失）
日々、取引会社からの納品書をスキャンし、そのスキャンデータを担当者Aにeメールするということを複合機で運用している。管理者パスワードを工場出荷時の初期パスワードのままにしており、従業員は皆知っている状態であった。従業員の設定ミスにより担当者Aのメールアドレスが書き換えられた。これに気付くことなく、納品書をスキャン、eメール送信し続けたため、取引会社情報や仕入れ情報が流出した。このため取引会社との取引停止となった。

対策

• 実施者

  管理者一般利用者

• 実施シーン

  設置時運用時

• 管理者パスワード
• サーバー機能の
  制限・制御

機器設置時に、必ず管理者パスワードを初期値から変更しましょう。最初の起動時にパスワード変更を促す画面が表示される機種もあります。パスワードはアルファベットと数字・記号を組み合わせ、第三者が推測しにくいもの、可能な限り辞書に載っている単語が使われていないものを設定することを推奨します。
設定したパスワードは管理者以外に流出しないように管理を徹底しましょう。

• 前の事例へ
• 次の事例へ