2013年11月初め、東京大学や琉球大学など複数の大学において、デジタル複合機に保存していた内部文書が、インターネット経由で誰でも閲覧できる状態になっていたことが明らかとなった。現在では複合機は多機能になり、サーバーなどのIT機器と同じ機能を備えている。セキュリティ対策も、これらの機器と同様に検討する必要がある。
コピーやスキャナー、ファクスなどの機能を1台にまとめた複合機のほとんどは、ネットワークに接続できる。さらに、コピーした文書のデータやスキャナーで取り込んだデータなどをファイルとして保存できる機種も多い。それらのファイルは、Webブラウザーなどを使って、ネットワーク経由で閲覧できる。つまり、「複合機はWebサーバーと同じ機能を備えている」と、情報処理推進機構(IPA)セキュリティセンターの山里拓己室次長は指摘する。
ただし、「今回のような事例は今まで聞いたことがない」(IPAの山里氏)という。一般的な運用をしていれば、情報漏洩の危険性は小さいからだ。通常、複合機は、ファイアウオールやブロードバンドルーターなどで守られた、企業や組織のLAN上に設置されている(図)。このため、インターネット側から直接アクセスされる恐れはほとんどない。
ところが、内部文書が漏洩した組織では、複合機をインターネットに直接接続していた。つまり、不特定多数に公開しているWebサーバーと同じ状況だったといえる。Webブラウザーなどを使って、該当の複合機のIPアドレスにアクセスすれば、保存されている内部文書を閲覧できた。
複合機にアクセス制御を施していなかったのも問題だった。ほとんどの機種では、ユーザーIDやパスワードを設定するなどして、保存されているファイルを勝手に見られないようにできるが、問題の組織では設定していなかった。
危ないのは複合機だけではない。ビデオ会議システムやWebカメラなどもサーバーの機能を備えている。どのような機器であっても、ネットに接続する際には注意が必要だ。