独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月30日、コニカミノルタ製bizhubシリーズにおけるPass-Back攻撃が可能になる脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受ける機種は以下の通り。
bizhub C751i
bizhub C651i/C551i/C451i
bizhub C361i/C301i/C251i
bizhub C4051i/C4001i
bizhub C3321i
bizhub 751i
bizhub 651i/551i/451i
bizhub 361i/301i
bizhub 4051i
bizhub C750i
bizhub C650i/C550i/C450i
bizhub C450iS/C360iS/C300iS/C250iS
bizhub C360i/C300i/C250i
bizhub C287i
bizhub C4050i/C4000i
bizhub C3320i
bizhub 750i
bizhub 650i/550i/450i
bizhub 360i/300i
bizhub 4050i
bizhub C759/C659
bizhub C658/C558/C458
bizhub C368/C308/C258
bizhub C287/C227
bizhub C3851
bizhub 758/658e/558e/458e
bizhub 368e/308e
bizhub 287/227
bizhub 558/458/368/308
bizhub 4052
※対象バージョンはすべてのバージョン
コニカミノルタ株式会社が提供するbizhubシリーズには、Pass-Back攻撃が可能になる脆弱性(CVE-2025-6081)が存在し、当該製品が(LDAPサーバのような)外部システムを使用するよう設定されている場合、管理者権限を持ったユーザーが、平文で認証情報を送信するよう機器を操作することで、その外部システムの認証情報を取得する可能性がある。
コニカミノルタでは、下記の回避策の適用を推奨している。
1.管理者パスワードがデフォルト設定のままの場合は、推測されにくいパスワードに変更する。
2.登録宛先の変更を管理者のみに制限する。
3.Active Directoryなどのシステムで高い権限を持ったアカウントを複合機に登録しない。
