キヤノン製複合機にCVE-2026-1789公開、アドレス帳など機微情報取得の脆弱性

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「複合機にも脆弱性があるのですか?」
「管理者権限が必要な攻撃なら安全と考えていいのでしょうか?」

チップス

ボス、オフィスのコピー機からも情報が抜かれるなんて、ちょっと信じられないでしゅ…

ボス

キヤノン複合機の新しい脆弱性だな。管理画面から内部のアドレス帳が抜かれるタイプだ。軽く見ないほうがいい。

複合機・プリンターは「ただの周辺機器」ではなく、社内アドレスや文書を抱える立派なIT資産です。
本記事ではJPCERT/CCが2026年5月11日に公表したCVE-2026-1789の中身と、現場で取るべき対応を解説します。

  • キヤノン製プロダクションプリンター・複合機にCVE-2026-1789(CVSS 6.9)
  • 管理者権限の攻撃者がアドレス帳など機微情報を取得可能
  • ファーム更新と内向き運用への切り替えが基本対策

業務の裏で動き続ける機器こそ、攻撃者にとって美味しい入り口になります。記事を最後まで読み、自社の運用を点検してください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

キヤノン複合機にCVE-2026-1789、JPCERT/CCが注意喚起

2026年5月11日に公開されたJVNVU#90878203の要点を整理します。

影響を受ける製品と脆弱性の評価

対象はキヤノン製のプロダクションプリンター、オフィス向け複合機、スモールオフィス向け複合機です。
JPCERT/CCは脆弱性区分をCWE-807「信頼できない入力値への依存」とし、CVSS v4.0で6.9と評価しています。
キヤノン公式も2026年4月23日付の告知でファーム更新の必要性を示しています。

脆弱性の主要スペックは次のとおりです。

項目内容
CVECVE-2026-1789
CVSS v4.06.9(中)
CWECWE-807
影響機微情報の取得(アドレス帳など)
必要権限管理者権限

想定される攻撃シナリオ

攻撃成立には管理画面への管理者ログインが前提です。
ただしデフォルト管理パスワードの放置やインターネット直結運用が組み合わさると、外部からの侵入は十分に現実的になります。
侵入後は細工したリクエストでアドレス帳や宛先情報が取得され、フィッシングや標的型攻撃の踏み台にされる恐れがあります。

チップス

パスワードを初期のまま使ってる現場って、まだ結構ありそうでしゅ…!

狙われやすいシナリオは次のとおりです。

  • グローバルIPで直接公開されたWeb管理画面
  • 初期パスワードのまま運用中の機器
  • VPNやリモート保守経由で社外から到達可能なケース

複合機を狙う攻撃から守るための具体策

パッチ適用と運用設計の両輪で守るのが現実的です。

短期で打つべき対応

まず実施すべきは、キヤノンが公開したファームウェア更新の適用です。
続いて管理者パスワードの強化、デフォルトアカウントの無効化を急ぎ実施してください。
外部からアクセス可能な機器がないか、グローバルIP棚卸しを同時に行うのが効果的です。

初動対応のチェック項目はこちらです。

STEP
対象機器の特定

キヤノン公式のサポートページで自社モデルが対象か確認。

STEP
ファームウェア更新

修正版ファームを適用し、再起動後の挙動を点検。

STEP
外部公開の遮断

グローバルIP直結を避け、ファイアウォール配下に収納。

継続運用での再発防止

複合機は更新を忘れがちな機器の代表格です。
機器ごとのファーム適用記録を残し、IT資産台帳に組み込む運用が再発防止につながります。
アドレス帳の定期棚卸しや、不要な宛先データの削除も併せて検討してください。

ボス

複合機を「IT資産」として扱えるかどうか、そこに組織のセキュリティ成熟度が出るんだな。

長期で押さえたい運用ポイントは次のとおりです。

  • 複合機もIT資産台帳に登録し、ファーム適用を可視化
  • 管理者ログイン履歴を定期チェック
  • 不要な宛先データ・アドレス帳の自動クレンジング

公式情報はJVN VU#90878203を参照してください。

まとめ:周辺機器も「攻撃面」と認識する

CVE-2026-1789は管理者権限が前提とはいえ、運用次第で外部から容易に狙われる脆弱性です。
複合機やプリンターは長く現場に置かれ、更新が後回しになりやすい盲点でもあります。
機器すべてを攻撃面として捉え、定期更新と権限管理を当たり前にする一歩を踏み出してください。

ボス

古いコピー機ひとつから情報が抜かれることもある。地味な管理を続けた組織だけが守られるものだ。

チップス

明日からファーム更新の予定表、ちゃんと作るでしゅ!

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次