公開日:2025/09/17 最終更新日:2025/09/17

JVNVU#93294882
ブラザーおよびそのOEMベンダーが提供する複数の製品における管理者パスワードの初期設定について

概要

ブラザー工業株式会社およびそのOEMベンダーが提供する複数の製品では、初期設定における管理者パスワードは製品のシリアル番号から容易に導出可能です。

影響を受けるシステム

影響を受ける製品は広範囲に及びます。
影響を受ける製品、モデル番号、バージョンなどの詳細については、後述の[ベンダ情報]で各製品開発者が提供する情報を確認してください。

詳細情報

ブラザー工業株式会社およびそのOEMベンダーが提供する複数の製品では、初期設定における管理者パスワードは製品のシリアル番号から容易に導出可能です。
この問題はRapid7によって報告されています(JVNVU#90043828CVE-2024-51978)。
ブラザー工業は以下のように述べています:
(1)システム管理のため、製品のシリアル番号は認証なしで取得できるように設計している
(2)CVE-2024-51978の対策として、シリアル番号からは導出できない形の初期パスワードを設定するよう、工場の生産ラインを更新した

その後、runZeroは、シリアル番号を認証なしで取得するもうひとつの手段としてeSCL/uscan機能が存在することを報告しました。
eSCL/uscanはCVE-2024-51977では記載されていないこと、およびCVE-2024-51978の存在に鑑みて、CNAであるAustin Hackers Anonymousは新たにCVE-2025-8452をアサインしました。

想定される影響

当該製品のパスワードを初期設定から変更しないまま運用している場合、シリアル番号を知っている者に管理者権限で操作される可能性があります。

対策方法

管理者パスワードを初期値から変更してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
コニカミノルタ株式会社 該当製品あり 2025/09/17 コニカミノルタ株式会社 の告知ページ
ブラザー工業株式会社 該当製品あり 2025/09/17 ブラザー工業株式会社 の告知ページ
東芝テック株式会社 該当製品あり 2025/09/17 東芝テック株式会社 の告知ページ

参考情報

  1. AHA! Advisory | CVE-2025-8452
    Brother Printer Serial Number Disclosure
  2. runZero
    How to find Brother printer, scanner and label maker devices on your network
  3. JVNVU#90043828
    複数のブラザー製品における複数の脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、runZeroが製品開発者へ直接報告し、製品開発者の調整依頼に基づきJPCERT/CCが両者の調整を仲介しました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/09/17
東芝テック株式会社のベンダステータスが更新されました