複合機の情報がなぜ丸見えになっているのか?セキュリティの甘さを露見してしまった根本的理由。

長崎在住のへたれIT業者のおおくすです。

この記事を見て、どうやったらできるのか?なぜ大学ばかりなのか?

fax_ex

と言う事に疑問を持った事でしょう。

もっとヘタレなのは個人もあるべきだし、民間企業もあって良いはずだ・・・。

print_secure

そう思った人は私だけでは無いはずです。

 

実は我々民間企業と大学のインターネット運用における違いがあります。

私の会社でもかつては専用線を敷設していた頃がありましたので、16のIPアドレスが付与されていた頃があります。

もちろん今でもやろうと思えばできる金額ですが、利用するメリットは無いので今後もこのままでしょう。

 

今回発生した原因を図示してみました。network_map

見づらい画像で申し訳無いのですが、今回の問題は、プリンタのIPアドレスがいわゆるグローバルIPアドレスを割り当てた事が一番の原因です。

※もちろん、プライベートIPアドレスを当てたから大丈夫という意味ではありません。

 

手順が若干前後しますが、現実問題IPアドレスはIPv4に関して申し上げるとすでに枯渇しており、保有しているIPアドレスを再利用するしか活用の手立てがありません。

そのため、今後の流れはIPv6に移行する事が望まれていますが、まだ併用期間で完全移行は後10年~20年はかかるだろうと見ています。

では、なぜ大学はグローバルIPアドレスを割り当てるのか?

その理由は至って簡単です。大学はグローバルIPアドレスを比較的潤沢に持っています。

tohoku-u

 

tokyo-u nagasaki-u

 

つまり、最低でも65000台はインターネット端末を接続できる訳ですから、プリンタに1台ずつ割り当ててもパソコンに1台ずつ割り当てても「余る」計算です。

逆に言えば、IPアドレスの最初の6桁部分(aaa.bbb.xxx.yyy)いわゆるaaa.bbbの部分さえわかってしまえばその下6桁も類推で割り出せる。逆に言えば、このネットワークに侵入さえできてしまえば内部のプリンタを操作するのはそう難しくない。と言う理屈になります。

※どのようにして侵入するかの手段はいくつか想定できますが私は怖くて書けません。

元々のきっかけは、たわいも無い検索エンジンによるものと考えられます。

検索エンジンは芋づる式にデータを収集する特性があるため、今回の件もその一つではないかと考えられます。

とはいえ、探すのは素人でも可能か?の問いには、ずばり「YES!」

プリンタに侵入する技術は簡単かの問いにもずばり「YES!」

さらに、自分のプリンタ代わりに使う事はできるかの答えも「YES!」

 

そんな訳で、一番の対策は学内ネットワークのIPアドレスをすべて「プライベート」で再構築する事

192.168の様な小規模レベルでなく、10.0.0.0の大規模レベルで作り替え、どうしてもグローバルが必要なところだけ重複で割り当てる等セキュリティの強化は必要と痛感しました。

 

この手の話題で、一般家庭や小規模事業所は気をつけなくて良いのか?

と言う質問には、ずばり「侵入するには相当の技術を要する」というレベルです。

 

パソコンとプリンタが1台ずつしかない一般家庭は侵入されにくく、機密情報の塊の大学が侵入しやすいのは何とも不条理な印象です。

ただ、これはグローバルIPアドレスが1つしか割り当てられていない前提での話です。

台数分のグローバルIPアドレスがある場合は当然のように大学と同じリスクにさらされます。

業務上どうしても必要な場合を除き、グローバルIPアドレスが複数必要な事情は無いと思います。