デジタル複合機からの情報漏洩

事務機器のIT化

コピーやスキャナー、 ファックスなどの機能を1台にまとめたデジタル複合機の大半は、ネットワークに接続して管理することができます。 また、コピーした文書のデータやスキャナーで取り込んだデータをファイルとして保存することもできるようになりました。 これらの文章は、ブラウザ等を使って、ネットワーク経由で閲覧をすることが可能です。

しかし、機能がパソコンに近づき、便利になった分、従来のコピーやプリントといった用途のみの使用では 考えられなかったような落とし穴や危険性が増してきており、 廃棄時やリース返却時にオフィス等で消去したはずの文書のデータを復元されて情報を盗まれたり、 ネットワーク上の通信データを盗聴されたり、遠隔操作で管理機能を乗っ取られるなどの被害が発生しています。

大学の情報漏洩事件

このような落とし穴の典型的な事例が、東京大学医科学研究所、東北大学、琉球大学など、 複数の大学でのデジタル複合機からの情報漏洩事件です。デジタル複合機に保存していた内部文章、 例えば看護師のアンケート結果や学生の免許証、住民票、健康診断の問診票、奨学金申請書類、答案用紙などが、 インターネット経由で誰でも閲覧可能な状態になっており、情報が漏洩したのです。

これを受け、2013年11月5日には、デジタル複合機のメーカー各社が注意喚起を促す情報を発信しています。 また、11月8日には独立行政法人の情報処理推進機構（IPA）も文書を公表し、利用に関する注意を促しました。

担当者のIT技術の向上が必要不可欠

もっとも、この大学の事件においては、デジタル複合機の適切な運用を行っていれば漏洩は防ぐことができました。

一般的な運用の場合、デジタル複合機はファイヤーウォールやブロードバンドルーターなどで 保護されたLAN内に設置されています。このような接続方法をとっていれば、 インターネットから直接アクセスされる危険性はほとんどありませんでした。

ところが、内部文書が漏洩した大学では、デジタル複合機を保護されたLAN内ではなく、 インターネットに直接接続していたのです。 これは不特定多数に公開しているWebサーバーと同じ状況です。

しかも、ほとんどの複合機でユーザーID、パスワードを設定せず初期状態のまま使用していたため、 外部から容易にブラウザ等でアクセスできるようになっていました。当日の新聞社の取材では、 「パスワード設定が必要だとは知らなかった」 「ファックスやコピーがインターネットに繋がるものだと知らなかった」 「メーカーは危険性について説明してくれなかった」 などの声が上がっていたようで、現場担当者のIT技術の向上が必要不可欠だということもわかりました。

デジタル複合機もパソコンのように進化してきているのだという認識をユーザーが持ち、 適切な運用をすることが求められています。