PJLの悪用による攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/28 02:20 UTC 版)
複合機(MFP、いわゆるコピー機)では、IPAの「デジタル複合機のセキュリティに関する調査報告書」にて、「PJLコマンドを悪用した攻撃(ディレクトリ・トラバーサル)」の具体例が示されている。 手順としては極めて簡素なもので、PJLコマンドでファイル名「passwd.txt」を探し、これをダウンロードするというものである。 対策としては、このような印刷以外の機能についてはプリンターや複合機がPJLのどの命令に対応しているかといった情報は探しても見つかりにくい為、複合機に対してジョブデータを投入できるホストを特定のプリントスプールサーバやスキャンとファクスのゲートウェイサーバなどに限定する方法が示されているにすぎないが、インターネットから誰もがアクセス可能な状態にしてしまっている複合機があり、2010年の調査ではこのような複合機を位置マッピングした結果、日本、台湾、アメリカ、ヨーロッパなどで国土の全域に渡って設置されていたので、使用者の根本的なセキュリティーに対する認識の甘さにも原因がある。 また、関連してPostScriptも攻撃に利用可能であり、開発者は注意が必要とされている。
※この「PJLの悪用による攻撃」の解説は、「PJL」の解説の一部です。
「PJLの悪用による攻撃」を含む「PJL」の記事については、「PJL」の概要を参照ください。
- PJLの悪用による攻撃のページへのリンク