お知らせ
弊社複合機におけるセキュリティ脆弱性について
2022年12月15日
平素は、シャープのデジタル複合機をご愛用いただき、誠にありがとうございます。
この度、弊社が製造しました一部のデジタル複合機に関しまして、セキュリティ上の脆弱性が存在することがわかりました。脆弱性の概要、対象製品につきましては、下記の表をご覧ください。
当該製品をご愛用いただいておりますお客様に多大なご迷惑をおかけしますことを深くお詫び申し上げます。
| 脆弱性識別番号 | JVNVU#96195138 / CVE-2022-45796 |
| 該当する製品名およびバージョン | 下記の別表をご覧ください。 |
| 攻撃が行われる条件 | 本脆弱性を利用した攻撃が成立するためには、
|
| 発生しうる影響 | 悪意のある攻撃者により、複合機ファームウェア上で任意のコードが実行されるおそれがあります。 |
| 回避策 | お客様がお使いの環境においては、本脆弱性の利用を含む、複合機に対しての攻撃の可能性を低減するために、早急に以下の対策をお願いします。
ご参考: シャープ デジタル複合機 インターネットからの不正アクセス防止のための対策手順書 https://jp.sharp/business/print/solution/security/state1.html#setupGuide |
| 対応方法 | 対策ファームウェアを提供してまいります。 ご用命のお客様は、お手数ですが製品をお買い上げの販売店、またはお客様ご相談窓口までご相談ください。 お客様ご相談窓口: シャープマーケティングジャパン株式会社 ビジネスソリューション社、沖縄シャープ電機株式会社 https://jp.sharp/business/print/contact/index-support.html |
| 謝辞 | 本脆弱性は、台湾ZUSO Advanced Research Teamからのご報告により発見されました。ご報告に対し、謹んで感謝申し上げます。 |
| 情報 | JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性: https://jvn.jp/vu/JVNVU96195138/index.html
CVE: https://www.cve.org/CVERecord?id=CVE-2022-45796 |
■対象機種と対応状況
対策ファームウェアは、下表のすべての機種について提供可能です。
| 種別 | 機種名 | 影響を受けるファームウェアバージョン(注) ※ファームウェアバージョンの上2~4桁目をご確認ください。 |
| デジタルフルカラー複合機 | BP-70C65/BP-70C55/BP-70C45/BP-70C26/ |
“202”以前 |
| MX-8081 | “120”以前 | |
MX-6171/MX-5171/MX-4171/ |
“600”以前 | |
| BP-30C25 | “121”以前 | |
MX-6170FN/MX-5170FN/MX-4170FN/ |
“790”以前 | |
MX-6150FN/MX-5150FN/MX-4150FN/ |
“790”以前 | |
| MX-C306W/MX-C305W | “500”以前 | |
| デジタル複合機(モノクロ) | BP-70M90/BP-70M75 | “200”以前 |
| BP-70M65/BP-70M55/BP-70M45 | “211”以前 | |
| MX-M1206/MX-M1056 | “102”以前 | |
| MX-M7570/MX-M6570 | “453”以前 | |
| MX-M6071/MX-M5071/MX-M4071/ MX-M3531 |
“400”以前 | |
| BP-30M35/BP-30M31/BP-30M28/ BP-30M31L |
“202”以前 | |
| MX-M6070/MX-M5070/MX-M4070 | “500”以前 | |
| MX-B455W | “401”以前 |
(注) ファームウェアバージョンの確認方法は以下の通りです。管理者でのログインが必要となります。
- ● 複合機の操作パネルからの場合、ホーム画面から「設定」アイコンを押す。
お使いのパソコンから複合機にネットワーク接続する場合、お使いのWebブラウザで複合機のデバイスWebページにアクセスする。 - ● [ステータス]タブを押す。
[ファームウェアバージョン]を押す。 - ●「BUNDLE」の後に表示された16桁の英数字(2つの8桁の英数字がアンダーバー”_”で連結されています)がファームウェアバージョンです。(例: 0510Z200_22040400)