ちょうど先日、利用しているエプソンのプリンター (EW-M973A3T) に関してブログを更新したところですが、たまたま下記のような記事が目に止まりました。
「プリンター、スキャナーおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について」
マイナビニュースの記事は 10/02 付でしたが、JPCERT/CC とエプソンの 09/30 の発表を受けての記事になっていたのでしょう。
脆弱性の説明としては難しい話ではありませんが、言葉を変えて言えば、
Web インターフェースを持った本体設定機能を使うためのパスワードが未設定のままの製品が販売されていた。
未設定のままその本体設定機能に第三者が何らかの方法でアクセスすると、その際にパスワードの設定が求められるため、本来の管理者の知らないところで新たなパスワードが設定されるとともに、本体の機能設定も第三者の自由になってしまう。
(ただし、具体的にどのような本体機能設定が第三者に可能になるか、までは言及していません)
といったところでしょうか。
ちょっと気になる
対象は「管理者パスワードが未設定(空)状態の当該製品」の古め?のデバイス?
発表情報をみる限り、私の利用している EW-M973A3T は対象ではないようですが、以前利用していた PX-5V は今回の脆弱性ありの対象としてリストされていました。PX-5V は以前はエプソンにユーザー登録してあったのですが、プリンターのリプレースと共に登録抹消していたからエプソンからの直接の連絡は無かったのでしょう。
念の為に自分の EW-M973A3T のユーザーズガイドを確認したところ、管理者パスワードは初期値として製品シリアル番号が登録されているようです。脆弱性となる「初期値が未設定(空)ではないから問題ない」という主張のように理解できます。
EW-M973A3Tの「管理者パスワード」は初期値という表現の「固定値」
私は一応各種デバイスの管理者を含むパスワードは結構意識して変更管理しているつもりでしたが、プリンター自体に管理者としてアクセスした記憶が乏しく、1Password にもプリンター管理者の登録はしていませんでした。プリンター管理者ってどこで使うんだろうな?と思っていましたが、マニュアルによると "Web Config" という管理パネルだけでで用いるようです。
実際に管理者パスワード(製品シリアル)でログインしてみると、操作可能なのは「AirPrint」の設定と「製品情報」の参照だけで、私のモデルでは管理者でログインしてもパネルから操作できることは限られているようですし、管理者パスワードの変更自体メニューが存在しません。つまりマニュアルに「初期値」とされているパスワードは初期値というよりは「固定値」のようでした。
エプソン発表の回避策は「他者に推測されにくい複雑な文字列にしてください」
ちなみに今回の脆弱性に対する回避策としては、「他者に推測されにくい複雑な文字列にしてください」ということですから、古い PX-5V でもパスワードの設定もしくは変更メニューが存在したのでしょう(現時点でダウンロードできる、セットアップガイド/ユーザーズガイド/ネットワークガイドにはデバイスのパスワードに関しては記載は見当たりません。記載があるのは Wifi パスワードとパソコン側管理者パスワードのみ。今回の脆弱性の発表を知った PX-5V ユーザーはどうやってデバイス管理者パスワードを設定するのだろう???)。
仮に PX-5V でもパスワードを変更することができるのであれば(できそうもないけれど)、ぜひ EW-M973A3T でも変更メニューを提供してもらいたいところです。初期値とされているデバイスシリアルはプリンターにラベルで貼ってある程度の半公開情報なのですから。
マニュアルでパスワードに関する記載の手抜きはしないで欲しい
自分が使っている製品に脆弱性が見つかったわけでは無いのであまり目くじらを立てても仕方がありませんが、今回「念の為確認しておこう」という気持ちでマニュアルに目を通してみると、やはりフラストします。
「初期値は変更できません」とはっきり書いてほしい
「EW-M973A3T Series ユーザーズガイド」の記載はすでに触れていますが、誤りではないもののやはり適切な表現ではないと思います。
Web Config の管理者パスワードの初期値は製品シリアル番号です。
仮に今回の脆弱性の問題がなかったとしても、世の中一般のセキュリティリテラシーからして「初期値として設定されているパスワードは利用者側で適切に変更管理すべき」と勧めているはずです。
にも関わらずこのデバイスでは変更方法が提供されていないようです。おそらく、このデバイスでは管理者といえども操作できることが限られているので、とりあえず何かパスワード設定されていれば良し、としているのでは無いでしょうか。
仮にそうであったとしても、この製品は管理者パスワードの初期値は変更できません、とはっきり書いておいて欲しいものです。さらに踏み込めば、パスワードを変更できなくても問題のないような機能なのであれば、「管理者パスワード」などと仰々しい呼び方は改めて、単に「製品シリアル番号を入力してください」としておけば余分な気を使わずに済みます。
何に付随する "パスワード" か分かりにくい
おそらくエプソン製品のマニュアルだけに限らないかもしれませんが、プリンターのようにネットワークとパソコンの両方に接続するものは 3種類のパスワードに関して記載が必要になります。
- ネットワーク側のパスワード
- パソコン側管理者のパスワード
- このデバイス (Web Config) の管理者パスワード
3 は私のプリンターではさほど機能が無いので一箇所だけの表現にとどまりますが、1, 2 は複数箇所で微妙に異なる表現がされています。マニュアルの最初にそれぞれを簡単な説明とともに一貫した表現ができる名称を明記しておけば、初心者もある程度スキルのある人にとっても分かりやすいと思いました。
製品自体は使い易いですしランニングコストも安く愛用できるものなのですから、いざという時に紐解くマニュアル類の分かりやすさにももう少し気を遣っていただければいいな、と思いました。
そういえば一昔前ば、「分かり易いマニュアル大賞」みたいなものがありましたが、最近では紙のマニュアル削減とともにそういった分かりやすさに焦点を当てた品質、というものはあまり評価の対象にはならなくなったのでしょうか...