同社はユーザーを「ウイルス」から守りたいと主張しているが、専門家は懐疑的だ。
写真:GSTech/Alamy
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
先週木曜日、HPのCEO、エンリケ・ロレス氏は、ユーザーがサードパーティ製インクをプリンターに装填するとプリンターが動作しなくなるという、同社が物議を醸している慣行について言及しました。CNBCテレビのインタビューで、ロレス氏は「カートリッジにウイルスが埋め込まれる可能性があることを確認しました。カートリッジを介して(ウイルスは)プリンターに侵入し、プリンターからネットワークに侵入する可能性があります」と述べました。
この恐ろしいシナリオは、今月ダイナミック セキュリティ システムをめぐって新たな訴訟を起こされた HP が、なぜこのシステムをプリンターに導入することにこだわっているのかを説明する一助となるかもしれない。
調査のため、Ars Technicaのシニアセキュリティエディター、ダン・グッドイン氏に連絡を取った。グッドイン氏によると、カートリッジを使ってプリンターに感染させるような攻撃が実際に行われているという事例は知らないとのことだった。
グッディン氏はマストドンにもこの質問を投げかけたが、組み込み機器のハッキングに精通したサイバーセキュリティの専門家たちは明らかに懐疑的だった。
HPの証拠
当然のことながら、ロレス氏の主張はHPが支援する研究に基づいています。同社のバグ報奨金プログラムは、Bugcrowdの研究者に、インクカートリッジをサイバー脅威として利用できるかどうかの調査を依頼しました。HPは、プリンターとの通信に使用されるインクカートリッジのマイクロコントローラーチップが攻撃の入り口となる可能性があると主張しました。
調査会社Actionable Intelligenceの2022年の記事で詳述されているように、このプログラムの研究者は、サードパーティ製のインクカートリッジを使ってプリンターをハッキングする方法を発見しました。報告によると、この研究者はHP製のカートリッジでは同様のハッキングを実行できなかったとのことです。
HPの印刷セキュリティ担当チーフテクノロジスト、シヴァウン・オルブライト氏は当時、次のように語った。
ある研究者が、カートリッジとプリンター間のシリアルインターフェースに脆弱性を発見しました。これは、バッファオーバーフローと呼ばれる脆弱性です。これは、十分にテストや検証が行われていないインターフェースが存在し、ハッカーがそのバッファの境界を超えてメモリにオーバーフローすることができたことを意味します。これにより、ハッカーはデバイスにコードを挿入することが可能になります。
オルブライト氏は、カートリッジを取り外した後もマルウェアは「プリンターのメモリ内に残る」と付け加えた。
HPは、そのようなハッキングが実際に発生したという証拠はないことを認めています。しかし、サードパーティ製のインクカートリッジに使用されているチップは再プログラム可能であるため(Actionable Intelligenceによると、「現場でリセットツールを使ってコードを変更できる」とのこと)、安全性は低いと同社は述べています。これらのチップはプログラム可能であるため、ファームウェアのアップデート後もプリンターで動作し続けると言われています。
HP はまた、特に ISO/IEC 認定を受けた自社のサプライ チェーンのセキュリティと比較した場合、サードパーティのインク会社のサプライ チェーンのセキュリティにも疑問を呈しています。
つまり、HPはカートリッジをハッキングする理論的な方法を発見したのです。そして、そのようなリスクを特定するためにバグ報奨金制度を導入するのは理にかなっています。しかし、この脅威に対するHPの解決策は、脅威が存在する可能性が示される前に発表されました。HPは2020年にバグ報奨金プログラムにインクカートリッジのセキュリティトレーニングを追加し、上記の研究は2022年に公開されました。HPは2016年にDynamic Securityの使用を開始しましたが、これは表向きは、数年後に存在を証明しようとした問題を解決するためでした。
さらに、Arsが話を聞いたサイバーセキュリティの専門家たちは、たとえそのような脅威が存在するとしても、通常は著名人を標的にするために使われるような高度なリソースとスキルが必要になるだろうと感じていました。現実的に考えると、大多数の個人消費者や企業は、インクカートリッジがマシンのハッキングに利用されることについて深刻な懸念を抱くべきではありません。
HP プリンターを安全にするのは誰の仕事ですか?
HPはダイナミックセキュリティによって、インクカートリッジに対するサイバー脅威への対策を提供していると主張しています。しかし、その対策は、インクカートリッジを介したリモートコード実行に対するHPプリンターのセキュリティ強化ではなく、顧客に不便をかけるだけのものでした。
HPはBugcrowdの調査を受けて、2022年にセキュリティアップデートをリリースしました。それにもかかわらず、オルブライト氏は当時、HPは「当社デバイスにおけるHP製以外のカートリッジとのすべてのインターフェースにバグやセキュリティ上の脆弱性がないとは保証できない」ため、顧客がサードパーティ製インクを使用することは依然として安全ではないと主張しました。
たとえハッカーがインクカートリッジを悪用することが理論的には可能だとしても、それは最小限の懸念事項であり、プリンターに対するセキュリティ上の脅威はサードパーティ製インクよりもはるかに深刻です。綿密なハッカーがプリンターユーザーのネットワークに侵入するより簡単な方法は数多く存在し、未修正のソフトウェアの脆弱性を悪用するといった方法も存在します。
さらに、HP ファームウェアのアップデートがプリンタの突然の動作停止と関連付けられるようになったため、ユーザーがプリンタのアップデートを避け、他のユーザーにも同じことを勧めているという報告があり、その結果、ユーザーが重要なセキュリティ アップデートを拒否する可能性があります。
HPの広報担当者はこれらの問題についてコメントを控えた。
真の焦点:知的財産の保護
CNBCテレビの訴訟に関する質問に対するロレスCEOの最初の反応は、示唆に富んでいるかもしれない。CEOは、消費者からの苦情に対し、HP自身のニーズを強調して答えた。
当社の知的財産権を守ることは重要です。プリンターのインクやプリンター自体にも多くの知的財産権が組み込まれています。そして、知的財産権を侵害するカートリッジが特定された場合、プリンターの動作を停止させています。
HPは2016年にダイナミックセキュリティを初めて発表した際、この機能は「最高のユーザーエクスペリエンス」を提供し、「当社の知的財産を侵害する」カートリッジから顧客を保護すると主張しました。しかし、8年が経過し、ファームウェアの突然のアップデートが数回行われた今、前者は後者に取って代わられたように思われます。
ロレス氏はCNBCテレビに対し、HP製以外のインクは「あらゆる問題」を引き起こす可能性があると語り、顧客がHP製プリンターで動作するように「設計」されていないインクを使用するとプリンターが動作しなくなる可能性があると述べた。
もちろん、サードパーティのインクメーカーは、自社のインクが自社製品の箱に記載されているプリンターブランドで使用できることを保証しようとします。しかし、製品の品質によっては、サードパーティのインクカートリッジで印刷結果が一定しない場合があります。
ブランドの認知度と信頼性は、サードパーティ製カートリッジではなくHPブランドのカートリッジを選ぶ十分な理由となる可能性がありますが、こうした決定は通常、顧客に委ねられており、ファームウェアのアップデートによって強制されるものではありません。HPのような企業は、優れた製品、サポート、保証を提供することで報われることを期待できますが、品質を犠牲にしてでもコストを抑えたいと考える顧客は、選択肢があることを望みます。
HPは印刷をサブスクリプションにしたい
HPの戦略は、HPプリンターのユーザーにHPインクの使用を促し、プリンター販売時の損失を補填することを目的としていることは明らかです。ロレス氏はインタビューの中で、HPはプリンター販売時には損失を出し、消耗品で利益を上げていることを認めました。
しかし、HPの野望はそれだけにとどまりません。HPは、すべてのプリンター顧客がインクやその他のプリンター関連サービスを提供するHPプログラムにも加入する世界を思い描いています。「私たちの長期的な目標は、印刷をサブスクリプションにすることです。まさにこれこそが、私たちが目指してきたことです」とロレス氏は語りました。
HPは長年にわたり、月額制インクサブスクリプションプログラム「Instant Ink」の推進に注力してきました。昨年12月、HPのCFOであるマリー・マイヤーズ氏は、Instant Inkのようなサブスクリプションモデルは「顧客を囲い込むことで、顧客価値を20%向上させる」可能性があると述べました。HPは最新の財務報告書で、Instant Inkを「主要成長分野」の一つに挙げています。
HPがプリンターインクの価格を引き上げているのではないかという懸念について尋ねられたロレス氏は、CNBCテレビに対し、「これは長年かけて構築されてきたビジネスモデルの一部です」と述べ、HPプリンターの箱にはダイナミックセキュリティを採用しているプリンターが記載されていると指摘した。HPのウェブサイトにも、ダイナミックセキュリティを採用しているプリンターが記載されている。
しかし、たとえその情報を入手したとしても、HPプリンターがすぐにサードパーティ製インクに対応できるかどうかは不明です。HPは現在、サードパーティ製インクに対応したプリンターを販売していますが、将来的には「HP製以外のチップ、または改造された回路やHP製以外の回路を搭載したカートリッジ(現在動作しているカートリッジも含む)がプリンターで動作しないようにブロックする」アップデートを行う可能性があるとしています。
誰が誰に投資しているのか?
HPは、サードパーティ製インクの使用によりデバイスの機能がブロックされたとして、数々の訴訟に直面し、数百万ドルもの損害賠償を支払ってきました。では、なぜHPは依然としてこのような状況に陥っているのでしょうか?その理由は、ベンダーと顧客の関係に対する同社の考え方に一部説明がつくかもしれません。
HPプリンターを購入する際、人々はそれを投資と考えます。しかしHPは、お客様がプリンターを購入するということは、会社がお客様への投資であると考えています。
ロレス氏はこう述べています。
これは数年前に発表した目標で、いわゆる「採算の取れない顧客」の数を減らすことが目標です。なぜなら、お客様がプリンターを購入するたびに、私たちにとってそれは投資だからです。私たちはそのお客様に投資しているのですから、もしそのお客様が十分な印刷を行わなかったり、当社の消耗品を使用していなかったりするなら、それは無駄な投資となってしまいます。
HPは、プリンターに既にお金を支払った顧客が今後何年も支払い続けることを期待しています。HPの顧客は、インクのブランド化に縛られることなく、長期的に購入費用を回収できることを期待しています。HPが、プリンターの顧客に対し、購入はHPへの定期的な支払い義務ではなく、メリットであると感じさせる方法を見つけられなければ、人々は最終的にHPプリンターを投資に値すると考えなくなるかもしれません。
HPの広報担当者はコメントを求められた際、Arsに対し、HPは「Instant Inkを含め、顧客が選択できる幅広い印刷製品とソリューションを提供している」とし、顧客にとって「より多くの価値を生み出すために」提供内容を「定期的に」拡大していると語った。
CNBCテレビのインタビューは以下からご覧いただけます。
このストーリーはもともと Ars Technica に掲載されました。
