弊社複合機・プリンターのCentreWare Internet Services機能またはインターネットサービス機能における脆弱性について

お客様各位

平素より、弊社商品をご愛用いただき、誠にありがとうございます。
弊社複合機・プリンターの一部機種に搭載しているCentreWare Internet Services機能またはインターネットサービス機能において脆弱性が発見されました。該当する商品と回避方法について、以下に記載いたします。

大変ご迷惑をおかけ致しますが、お客様がお使いの機種が対象機種に該当するかをご確認いただき、該当する場合には、下記の通りご対応をお願いいたします。

弊社では、本お知らせの掲載時点において、本脆弱性を利用した攻撃は確認しておりません。

対象機種

本ページ末尾に対象機種の表を掲載しました。ご確認いただき、該当する機種をご利用の場合には、下記回避策を適用していただけますようお願いします。

なお、当該サービスの呼称は機種ごとに異なっております。ページ末尾の対象機種の『サービス名称』列でご確認ください。

脆弱性の内容

弊社の複合機・プリンターには、ウェブブラウザ―経由でHTTPを用いて本商品の管理を行う機能を備えた機種があります。前述の通り、この機能は「CentreWare Internet Services」または「インターネットサービス」と呼ばれています。これらの機種の中にクロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性を含むものがあることが判明いたしました。

複合機の使用者または機械管理者が、悪意のある攻撃者が攻撃用に用意したウェブページにアクセスし、意図せずに当該の複合機に不正なリクエストを送信してしまうことで、当該の商品の設定値が変更されてしまう可能性があります。

回避策

CentreWare Internet Services機能またはインターネットサービス機能を停止することで、本件脆弱性を悪用した攻撃を防ぐことができます。以下に当該サービスを停止するための方法を掲載します。

本ページ末尾の対象機種表の『サービス名称』列をご確認いただき、その名称と一致する停止手順を以下から選んで実施してください。

CentreWare Internet Servicesの停止手順

CentreWare Internet Servicesを停止するための、本体側の設定手順について説明します。

1. 機械管理者としてログインします
   1. [仕様設定/登録]画面を表示します
   2. 〈認証〉ボタンを押します
   3. 〈数字〉ボタン、または表示されるキーボードを使って、機械管理者のUser IDを入力し、[確定]を押します。
      パスワードを入力する場合は、[次へ]を押し、機械管理者のパスワードを入力して[確定]を押します。
   4. メニュー画面の[仕様設定/登録]を押します
2. インターネットサービスのポートを停止します
   1. [ネットワーク設定]を押します
   2. [ポート設定]を押します
   3. [インターネットサービス(HTTP)]を選択し、[確認/変更]を押します
   4. [インターネットサービス – ポート]を選択し、[確認/変更]を押します
   5. [停止]を選択し、[決定]を押します
   6. [仕様設定/登録]画面が表示されるまで、[閉じる]を押します

インターネットサービスの停止手順

インターネットサービスを停止するための、本体側の操作手順について説明します。

1. 機械管理者としてログインします
   1. [仕様設定/登録]画面を表示します
   2. 〈認証〉ボタンを押します
   3. 〈数字〉ボタン、または表示されるキーボードを使って、機械管理者のUser IDを入力し、[確定]を押します。
      パスワードを入力する場合は、[次へ]を押し、機械管理者のパスワードを入力して[確定]を押します。
   4. メニュー画面の[仕様設定/登録]を押します
2. インターネットサービスのポートを停止します
   1. [ネットワーク設定]を押します
   2. [ポート設定]を押します
   3. [インターネットサービス(HTTP)]を選択し、[確認/変更]を押します
   4. [インターネットサービス – ポート]を選択し、[確認/変更]を押します
   5. [停止]を選択し、[決定]を押します
   6. [仕様設定/登録]画面が表示されるまで、[閉じる]を押します

なお、上記回避策を直ちに適用できない場合、適用するまでの間は、以下を実施していただけますようお願い致します。本脆弱性による攻撃のリスクを低減することができます。

• ファイアウォール等で保護されたネットワークの中で機器をご利用ください
• インターネットからのアクセスを許可する場合は、必要な IP アドレスのみにアクセスを許可する、またはVPN を用いて接続することをご検討ください

関連情報

CVE-2024-27974（クロスサイト・リクエスト・フォージェリ）

謝辞

本脆弱性を発見していただいた、横浜国⽴⼤学の櫛引淳之介 氏、九鬼琉 氏、溝口将隆 氏、佐々木貴之 氏、吉岡克成 氏に感謝申し上げます。

お問い合わせ先

本件に関するお問合せ

富士フイルムビジネスイノベーション お客様相談センター

Webでのお問い合わせ：https://www.fujifilm.com/fb/cgi-bin/std/support/cic?PCODE=cic

上記URLより、「商品に関するご質問」を選択し、お問い合わせください。

フリーダイヤル：0120-274-100

受付時間：土日祝日を除く、9：00-12：00、13：00-17：00

対象機種

本件脆弱性に該当する機種名を以下に示します。

本件脆弱性に該当するのは、表にある機種のみです。