HP CEO: プリンターからのサードパーティ製インクをブロックすることでウイルスと戦う

先週の木曜日、HPの最高経営責任者（CEO）エンリケ・ロレス氏は、ユーザーがサードパーティのインクをプリンターにロードするとプリンターがブリックするという同社の物議を醸す慣行について言及した。CNBCテレビに語ったところ、同氏は次のように述べた。「カートリッジにウイルスを埋め込むことができることがわかった。[ウイルスは] カートリッジを介してプリンターに到達し、[その後] プリンターからネットワークに到達します。」

この恐ろしいシナリオは、今月自社のDynamic Security システムをめぐる別の訴訟で打撃を受けた HP が、なぜそれをプリンタに導入することに固執するのかを説明するのに役立つかもしれない。

HP チップまたは HP 電子回路が搭載されていないインク カートリッジが取り付けられている場合、ダイナミック セキュリティは HP プリンターの機能を停止します。HPは、そのようなインクカートリッジを搭載したプリンターの印刷をブロックするファームウェアアップデートを発行したため、集団訴訟の認定を求める上記の訴訟( PDF )につながった。訴状では、 2022年末から2023年初めに発行されたプリンターのファームウェアアップデートによりプリンターの機能が動作しなくなる可能性があることをHPプリンターの顧客に知らされていなかったと主張している。この訴訟は、金銭的損害賠償と、HP チップのないインク カートリッジをブロックするプリンターのアップデートを HP が発行することを差し止めることを求めています。

しかし、ハッキングされたインク カートリッジは実際に心配すべきことなのでしょうか?

調査するために、私は Ars Technica シニア セキュリティ エディターの Dan Goodin に相談しました。彼は私に、カートリッジを使用してプリンターに感染する可能性のある、実際に実際に使用されている攻撃を知らないと言いました。

グッドイン氏はマストドンにもこの質問を投げかけたが、多くが組み込み機器のハッキングの専門知識を持つサイバーセキュリティ専門家は明らかに懐疑的だった。

Mastodon の Graham Sutherland / Polynomial という別のコメント投稿者は、インク カートリッジで広く使用されているフラッシュ メモリの一種であるシリアル プレゼンス ディテクト (SPD) の電気的に消去可能なプログラマブル読み取り専用メモリ (EEPROM) について言及し、次のように述べています。

私はこれまでの人生で、メモリ DIMM 上の SPD EEPROM にデータを隠す (そして、同様の悪ふざけのためにそれらをマイクロコントローラーに置き換える) など、本当に奇抜なハードウェア関連のことをいくつか見たり実行したりしてきました。実験室の環境、ましてや野外、ましてや選ばれた政治的主体ではなく企業や個人に影響を与えるような規模では。

HPの証拠

当然のことながら、Lores 氏の主張は HP の支援を受けた研究に基づいています。同社のバグ報奨金プログラムでは、Bugcrowd の研究者に、インク カートリッジをサイバー脅威として使用できるかどうかを判断するよう依頼しました。HPは、プリンターとの通信に使用されるインクカートリッジのマイクロコントローラーチップが攻撃の入り口となる可能性があると主張した。

調査会社Actionable Intelligenceの2022年の記事で詳述されているように、このプログラムの研究者は、サードパーティのインクカートリッジを介してプリンターをハッキングする方法を発見しました。研究者は、HP カートリッジを使用して同じハッキングを実行できなかったと報告されています。

HPの印刷セキュリティ担当主任技術者であるシヴァン・オルブライト氏は当時、次のように述べた。

研究者は、カートリッジとプリンター間のシリアル インターフェイスに脆弱性を発見しました。基本的に、彼らはバッファ オーバーフローを発見しました。ここでは、十分にテストまたは検証されていないインターフェイスがあり、ハッカーは特定のバッファの境界を超えてメモリにオーバーフローすることができました。これにより、デバイスにコードを挿入できるようになります。

オルブライト氏は、カートリッジが取り外された後もマルウェアが「プリンターのメモリに残っていた」と付け加えた。

HP は、そのようなハッキングが実際に発生したという証拠がないことを認めています。それでも、サードパーティのインクカートリッジに使用されているチップは再プログラム可能であるため（Actionable Intelligenceによれば、「コードは現場でリセットツールを介して変更できる」）、安全性は低いと同社は述べている。このチップはプログラム可能であるため、ファームウェアのアップデート後もプリンターで動作できると言われています。

HP はまた、特にISO/IEC 認定を受けた自社のサプライ チェーン セキュリティと比較して、サードパーティのインク会社のサプライ チェーンのセキュリティにも疑問を抱いています。

したがって、HP はカートリッジがハッキングされる理論的な方法を発見したのであり、同社がそのようなリスクを特定するためにバグ報奨金を発行するのは合理的です。しかし、この脅威に対するソリューションは、脅威の可能性が示される前に発表されました。HP は 2020 年にバグ報奨金プログラムにインク カートリッジのセキュリティ トレーニングを追加し、上記の調査結果は 2022 年に発表されました。HP は 2016 年にダイナミック セキュリティの使用を開始しましたが、表向きは数年後に存在を証明しようとした問題を解決するためでした。

さらに、Ars 氏が話を聞いたサイバーセキュリティの専門家らは、たとえそのような脅威が存在したとしても、通常は著名な被害者をターゲットにするために確保されている高レベルのリソースとスキルが必要になるだろうと感じています。現実的には、大多数の個人消費者や企業は、インク カートリッジがマシンのハッキングに使用されることについて重大な懸念を抱くべきではありません。