チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「複合機にも脆弱性があるのですか?」
「管理者権限が必要な攻撃なら安全と考えていいのでしょうか?」
チップスボス、オフィスのコピー機からも情報が抜かれるなんて、ちょっと信じられないでしゅ…
ボスキヤノン複合機の新しい脆弱性だな。管理画面から内部のアドレス帳が抜かれるタイプだ。軽く見ないほうがいい。
複合機・プリンターは「ただの周辺機器」ではなく、社内アドレスや文書を抱える立派なIT資産です。
本記事ではJPCERT/CCが2026年5月11日に公表したCVE-2026-1789の中身と、現場で取るべき対応を解説します。
業務の裏で動き続ける機器こそ、攻撃者にとって美味しい入り口になります。記事を最後まで読み、自社の運用を点検してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
2026年5月11日に公開されたJVNVU#90878203の要点を整理します。
対象はキヤノン製のプロダクションプリンター、オフィス向け複合機、スモールオフィス向け複合機です。
JPCERT/CCは脆弱性区分をCWE-807「信頼できない入力値への依存」とし、CVSS v4.0で6.9と評価しています。
キヤノン公式も2026年4月23日付の告知でファーム更新の必要性を示しています。
脆弱性の主要スペックは次のとおりです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-1789 |
| CVSS v4.0 | 6.9(中) |
| CWE | CWE-807 |
| 影響 | 機微情報の取得(アドレス帳など) |
| 必要権限 | 管理者権限 |
攻撃成立には管理画面への管理者ログインが前提です。
ただしデフォルト管理パスワードの放置やインターネット直結運用が組み合わさると、外部からの侵入は十分に現実的になります。
侵入後は細工したリクエストでアドレス帳や宛先情報が取得され、フィッシングや標的型攻撃の踏み台にされる恐れがあります。
チップスパスワードを初期のまま使ってる現場って、まだ結構ありそうでしゅ…!
狙われやすいシナリオは次のとおりです。
パッチ適用と運用設計の両輪で守るのが現実的です。
まず実施すべきは、キヤノンが公開したファームウェア更新の適用です。
続いて管理者パスワードの強化、デフォルトアカウントの無効化を急ぎ実施してください。
外部からアクセス可能な機器がないか、グローバルIP棚卸しを同時に行うのが効果的です。
初動対応のチェック項目はこちらです。
キヤノン公式のサポートページで自社モデルが対象か確認。
修正版ファームを適用し、再起動後の挙動を点検。
グローバルIP直結を避け、ファイアウォール配下に収納。
複合機は更新を忘れがちな機器の代表格です。
機器ごとのファーム適用記録を残し、IT資産台帳に組み込む運用が再発防止につながります。
アドレス帳の定期棚卸しや、不要な宛先データの削除も併せて検討してください。
ボス複合機を「IT資産」として扱えるかどうか、そこに組織のセキュリティ成熟度が出るんだな。
長期で押さえたい運用ポイントは次のとおりです。
公式情報はJVN VU#90878203を参照してください。
CVE-2026-1789は管理者権限が前提とはいえ、運用次第で外部から容易に狙われる脆弱性です。
複合機やプリンターは長く現場に置かれ、更新が後回しになりやすい盲点でもあります。
機器すべてを攻撃面として捉え、定期更新と権限管理を当たり前にする一歩を踏み出してください。
ボス古いコピー機ひとつから情報が抜かれることもある。地味な管理を続けた組織だけが守られるものだ。
チップス明日からファーム更新の予定表、ちゃんと作るでしゅ!
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
