「Apache Log4j」の脆弱性問題による弊社製品・サービスへの影響について
最新更新日 2022年4月20日
掲載日 2022年2月8日
コニカミノルタジャパン株式会社
お客様各位
平素はコニカミノルタ製品をご愛用いただき、誠にありがとうございます。
Apache Software Foundation がオープンソースで提供しているJavaベースのロギングライブラリ「Apache log4j」の脆弱性が12月9日に公開され、コニカミノルタでは、関連の脆弱性(CVE-2021-44228, 45046, 45105, 44832, 4104)も含め、情報公開直後から自社製品への影響調査と対応を進めてまいりました。
現在までの調査結果を踏まえ、危険性判断と対応方針についてご説明いたします。
なお、本件脆弱性を悪用したコニカミノルタ製品へのセキュリティー被害は、グローバル全体で確認されておりません。
脆弱性概要
JPCERET/CCウェブサイトウェブサイトをご参照ください
「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」
危険性判断と対策方針
以下の理由により、実際に攻撃が発生する可能性は極めて低いと判断をしております。
- オフィス製品・プロダクションプリント製品はファイアーウォールで保護されたネットワーク内で使用することが一般的であり、外部インターネットからの攻撃は受けない。
このため、直ちにセキュリティー事故につながる事態は想定しにくいことから、通常のメンテナンスでのカスタマーエンジニアの訪問時に、順次対策プログラムを適用させていただきます。
回避策
今回の脆弱性も含め、一般的なセキュリティーリスクを低減するため、各種セキュリティー設定のもとでご利用いただきますよう、お願いいたします。
- 管理者パスワードが初期設定のままになっている場合は、推測されにくいパスワードへ変更する。
- 外部からの不正アクセスによる情報漏洩や不正使用のリスクを低減するために、プライベートIPアドレスを設定し、ファイアーウォールなどで保護されたネットワークの中で利用する。
- IPアドレスフィルタリング機能で複合機にアクセス可能なネットワークの範囲を制限する。
- 製品に通信を暗号化(カプセル化)する機能がある機種の場合は、その機能を有効にする。
詳しい設定方法についてはユーザーズガイドをご参照ください。
解決策
対策プログラムの適用
- ※
- 対策プログラムはカスタマーエンジニア訪問時に順次適用いたします
弊社製品・サービスのセキュリティー強化への取り組み
当社が開発、製造し、日本国内で販売する主要な製品・サービスへの本脆弱性による影響については以下をご参照ください。
リストに掲載している以外の製品・サービスも含め、セキュリティー被害は、グローバル全体で確認されておりません。
コニカミノルタは製品・サービスのセキュリティー対応を重要な責務と位置付け、セキュリティーインシデントや脆弱性対応について今後も積極的に取り組んで参ります。
製品・サービスのセキュリティ強化 - サステナビリティ | コニカミノルタ (konicaminolta.jp)
オフィスプロダクト製品はこちら
プロダクションプリント製品はこちら
本件に関するお問い合わせ先
お問い合わせ、対策ファームウェアの適用につきましては当該機器のサービス管理店へご用命願います。