JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月15日、「JVNVU#96195138: シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性」において、シャープの複数のデジタル複合機に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって対象となるデジタル複合機おいて任意のコマンドが実行される危険性があるとされており注意が必要。

弊社複合機におけるセキュリティ脆弱性について|オフィスソリューション:シャープ

脆弱性に関する情報は次のページにまとまっている。

弊社複合機におけるセキュリティ脆弱性について|オフィスソリューション:シャープ

脆弱性が存在するとされるプロダクトは次のとおり。

BP-70C65

BP-70C55

BP-70C45

BP-70C26

BP-60C36

BP-60C31

BP-60C26

BP-50C65

BP-50C55

BP-50C45

BP-40C36

BP-40C26

MX-8081

MX-6171

MX-5171

MX-4171

MX-3661

MX-3161

MX-2661

MX-6151

MX-5151

MX-4151

MX-3631

MX-2631

BP-30C25

MX-6170FN

MX-5170FN

MX-4170FN

MX-6170FV

MX-5170FV

MX-4170FV

MX-6150FN

MX-5150FN

MX-4150FN

MX-3650FN

MX-3150FN

MX-2650FN

MX-6150FV

MX-5150FV

MX-4150FV

MX-3650FV

MX-3150FV

MX-2650FV

MX-3630FN

MX-2630FN

MX-C306W

MX-C305W

BP-70M90

BP-70M75

BP-70M65

BP-70M55

BP-70M45

MX-M1206

MX-M1056

MX-M7570

MX-M6570

MX-M6071

MX-M5071

MX-M4071

MX-M3531

BP-30M35

BP-30M31

BP-30M28

BP-30M31L

MX-M6070

MX-M5070

MX-M4070

MX-B455W

この脆弱性は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System) v3のスコア値で9.1と分析されており、深刻度は緊急(Critical)と評価されている。

複合機の管理者パスワードが工場出荷時の初期値のままの場合、サイバー攻撃者によって脆弱性が悪用される危険性がある。シャープはファームウェアのアップデート実施を推奨しているが、一時的な回避策としてデバイスをインターネットに直接接続しないこと、デバイスの管理者パスワードを工場出荷時の初期値から変更して適切に管理することも挙げている。

JPCERT/CCは、開発者の提供する情報に基づいてアップデートを適用することを推奨している。