JP2021117523A - 情報処理装置、情報処理装置の処理方法およびプログラム - Google Patents

情報処理装置、情報処理装置の処理方法およびプログラム Download PDF

Info

Publication number
JP2021117523A
JP2021117523A JP2020008276A JP2020008276A JP2021117523A JP 2021117523 A JP2021117523 A JP 2021117523A JP 2020008276 A JP2020008276 A JP 2020008276A JP 2020008276 A JP2020008276 A JP 2020008276A JP 2021117523 A JP2021117523 A JP 2021117523A
Authority
JP
Japan
Prior art keywords
program
update
programs
detected
determination means
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020008276A
Other languages
English (en)
Inventor
卓実 道下
Takumi Michishita
卓実 道下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2020008276A priority Critical patent/JP2021117523A/ja
Publication of JP2021117523A publication Critical patent/JP2021117523A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】プログラムの不良の状態からより確実に復旧することができるようにする。【解決手段】情報処理装置は、複数のプログラムの不良の検知の有無を判定する第1の判定手段と、前記第1の判定手段により少なくとも1個のプログラムの不良を検知したと判定された場合には、プログラムの更新に関するプログラムの不良が検知されたか否かを判定する第2の判定手段と、前記第2の判定手段により前記プログラムの更新に関するプログラムの不良が検知されていないと判定された場合には、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新する第1の更新手段とを有する。【選択図】図6

Description

本発明は、情報処理装置、情報処理装置の処理方法およびプログラムに関する。
ソフトウェアの脆弱性をついてソフトウェアを改ざんし、コンピュータを悪用する攻撃が問題となっている。そういった攻撃の対策として、プログラムに署名を施して保存しておき、起動するたびにプログラムの署名を検証することで、改ざんの有無を検知する方法が知られている。また、プログラムを部分的に交換可能にするためにモジュール化し、各モジュールに対して署名を検証する処理や検証するのに必要な鍵情報を内包して格納する方法や、起動時に各プログラムの正解値が一致するか検証する方法が知られている(特許文献1参照)。
さらに、画像形成装置の稼働中にランタイムで改ざん検知を行うための方法として、ホワイトリスト方式を用いた改ざん検知手法が知られている。ホワイトリスト方式は、使用可能なファームウェアの個々のファイルの検証データを予め保管し、ファームウェアの使用時に検証データを用いて当該ファームウェアの改ざんを検証し、正しいファームウェアだけを使用可能とする方法である。ここでいう検証データとは、ファームウェアの一意性を確認するために、ファームウェアが格納された個々のファイルのバイナリデータから、ハッシュ関数を用いて作成されたハッシュ値を用いるのが一般的である。ハッシュ関数を用いることは、ある値からハッシュ値を作成した際に、ハッシュ値を変更せずに元の値を改変することが不可能であるという特徴があり、正しいファームウェアであるかどうかの改ざん検証に使用することが可能である。
近年、ネットワーク経由でプログラム配信サーバに接続される画像形成装置が増加し、ファームウェアのアップデートの際には、サーバ側に登録された多数のファームウェアの中から、適用可能なファームウェアを自動的に選択して受信することが可能になっている。また、定期的に最新のファームウェアをサーバに問い合わせて、自動的にアップデート処理を実行する方法が知られている(特許文献2参照)。
特開2019−75000号公報 特開2013−240946号公報
起動時にプログラムの改ざんを検知した場合、悪意のある動作を防ぐために、各プログラムの動作を停止させる。操作部には、改ざんが検知されたことをユーザに知らせるため、エラーコードなどを表示する。しかし、この場合、プログラムが動作しないため、ユーザには復旧の術がなく、サービスマン等の専門スタッフを呼んで、修理を行う必要がある。それには、部品交換や出動に関わる物理的なコストもかかってしまうことに加え、復旧までの間に装置が利用できないダウンタイムが多く発生してしまう。同様の問題が、プログラムの改ざんだけではなく、記憶装置内のプログラムの破損の際にも発生する可能性がある。
本発明の目的は、プログラムの不良の状態からより確実に復旧することができるようにすることである。
本発明の情報処理装置は、複数のプログラムの不良の検知の有無を判定する第1の判定手段と、前記第1の判定手段により少なくとも1個のプログラムの不良を検知したと判定された場合には、プログラムの更新に関するプログラムの不良が検知されたか否かを判定する第2の判定手段と、前記第2の判定手段により前記プログラムの更新に関するプログラムの不良が検知されていないと判定された場合には、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新する第1の更新手段とを有する。
本発明によれば、プログラムの不良の状態からより確実に復旧することができる。
画像形成装置のハードウェア構成例を示す図である。 画像形成装置の機能構成例を示す図である。 画像形成装置の機能構成例を示す図である。 改ざん検知処理を示す図である。 ファームウェアのアップデート処理を示すフローチャートである。 改ざん検知時の復旧処理を示すフローチャートである。 表示画面の一例を示す図である。
以下、本発明を実施するための形態について図面を用いて説明する。なお、以下の実施形態は特許請求の範囲に係る発明を限定するものでなく、また実施形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
図1は、本実施形態による画像形成装置100のハードウェア構成例を示すブロック図である。画像形成装置100は、情報処理装置の一例である。画像形成装置100は、メインコントローラ110と、操作部ユニット130と、プリンタユニット140と、スキャナユニット150を有する。メインコントローラ110は、CPU111と、ROM112と、RAM113と、フラッシュメモリ114と、HDD115と、埋め込みコントローラ116を有する。さらに、メインコントローラ110は、操作部I/F119と、プリンタI/F121と、USB−HostI/F122と、ネットワークI/F123を有する。
CPU111は、ROM112やフラッシュメモリ114に記憶されたメインコントローラ110用のプログラムをRAM113に読み出して実行する。ROM112は、リードオンリーメモリであり、メインコントローラ110のブートプログラム、BIOSおよび固定パラメータ等を格納している。RAM113は、ランダムアクセスメモリであり、CPU111がメインコントローラ110を制御する際に、プログラムや一時的なデータなどを格納する。
フラッシュメモリ114は、ローダー、カーネルおよびアプリケーションを格納する。また、フラッシュメモリ114には、実行プログラムの他に、画像形成装置100の機能を有効にするためのライセンス情報、プログラムの改ざん検知の検証のために使用する署名および公開鍵が記憶されている。HDD115は、ハードディスクドライブであり、一部のアプリケーション、各種データ、および、ネットワークI/F123を介してPC190から受信した印刷データを記憶する。
埋め込みコントローラ116は、CPU117とRAM118を有する。CPU117は、埋め込みコントローラ116のプログラムを実行し、メインコントローラ110の中の一部の制御を行う。RAM118は、埋め込みコントローラ116内のランダムアクセスメモリであり、CPU117がメインコントローラ110を制御する際に、プログラムや一時的なデータなどを格納する。
フラッシュメモリ114から読み出されCPU111により実行されるプログラムには、プリント用アプリケーションプログラムが含まれる。そして、このプリント用アプリケーションプログラムにより、HDD115に記憶された印刷データは、プリンタユニット140によるプリントが可能な画像データに変換される。それらの画像データは、HDD115に記憶される。
また、フラッシュメモリ114から読み出されCPU111により実行されるファームウェアには、スキャン用アプリケーションプログラムが含まれる。そして、このスキャン用アプリケーションプログラムにより、スキャナユニット150により画像データが読み取られるとともに、読み取られた画像データがHDD115に転送される。そして、HDD115には、読み取られた画像データが記憶される。
操作部I/F119は、操作部ユニット130を介して画像形成装置100の使用者により入力される指示をCPU111に伝達するためのインターフェースである。また、操作部I/F119は、操作部ユニット130に表示する内容を切り替えるための処理内容をCPU111から受信して操作部ユニット130に伝達する。なお、操作部ユニット130は、タッチパネル機能を有する液晶表示部やキーボードなどを有し、画像形成装置100の状態や操作メニューを表示し、使用者の指示を受け付ける。
プリンタI/F120は、メインコントローラ110とプリンタユニット140を接続するためのインターフェースである。ここで、プリンタユニット140は、プリンタI/F120を介してHDD115から転送される画像データに基づいて記録媒体上にプリントを行う。
スキャナI/F121は、メインコントローラ110とスキャナユニット150を接続するためのインターフェースである。ここで、スキャナユニット150は、CCD(ChargeCoupledDevice)等により構成されるラインセンサを用いて、原稿上の画像を画像データとして読み取る。そして、スキャナユニット150は、読み取った画像データをスキャナI/F121を介してHDD115へ転送する。HDD115へ転送され、記憶された画像データは、前述したプリンタユニット140によりプリントすることが可能である。スキャナユニット150により読み取った画像データをプリンタユニット140によりプリントすることにより、複写(コピー)処理が可能となる。
USB−HostI/F122は、メインコントローラ110と外部USBデバイス170を接続するためのインターフェースである。ここで、外部USBデバイス170の例としては、ファックス(FAX)ユニットが挙げられる。FAXユニットは、USB−HostI/F122を介してHDD115から転送される画像データに基づいてFAX送信を行う。また、FAXユニットは、受信するデータに基づいて画像データを生成し、USB−HostI/F122を介してHDD115に画像データを転送する。なお、HDD115に記憶された画像データは、前述したようにプリンタユニット140により記憶媒体へプリントされる。外部USBデバイス170は、USBメモリやUSBキーボードなども例として挙げられる。USBメモリは、ファームウェアアップデートに必要な更新ファイルの転送も可能である。
ネットワークI/F123は、メインコントローラ110をLAN160に接続し、LAN160上のPC190との通信を行う。PC190は、パーソナルコンピュータであり、画像形成装置100とLAN160で接続され、画像形成装置100に対して、印刷データの送信、WEBブラウザ経由での機器の操作、ファームウェアファイルの転送等が可能である。
さらに、画像形成装置100は、LAN160を介して、サーバ装置180に接続され、ファームウェアアップデートに必要な更新ファイルをダウンロードすることができる。ここでの更新ファイルのダウンロードの手段は、HTTP、FTPの他、プロトコルは限定されない。
サーバ装置180は、出荷された製品に対してアップデートが必要な最新のファームウェアが常にアップロードされており、画像形成装置100から問い合わせを行うことで、必要なファームウェアを取得することができる。ただし、画像形成装置100の設置環境によっては、サーバ装置180には接続しないケースもある。
図2は、画像形成装置100のプログラムの改ざん検知時の機能構成例を示す図である。メインコントローラ110は、ROM112と、フラッシュメモリ114と、HDD115を有する。ROM112は、ブートプログラム210と、BIOS220を記憶する。フラッシュメモリ114は、ローダー230と、カーネル240と、Nativeプログラム250を記憶する。HDD115は、Java(登録商標)プログラム260を記憶する。
ブートプログラム210は、画像形成装置100の電源を入れると、埋め込みコントローラ116のCPU117により実行されるプログラムであり、起動に関わる処理を行う他に、BIOS220の改ざん検知を行うBIOS改ざん検知処理部211を有する。
BIOS220は、ブートプログラム210の実行後にCPU111により実行されるプログラムであり、起動に関わる処理を行う他に、ローダー230の改ざん検知を行うローダー改ざん検知処理部221を有する。
ローダー230は、BIOS220の処理が終わった後にCPU111により実行されるプログラムであり、起動に関わる処理を行う他に、カーネル240の改ざん検知を行うカーネル改ざん検知処理部231を有する。
カーネル240は、ローダー230の処理が終わった後にCPU111により実行されるプログラムであり、起動に関わる処理を行う他に、Nativeプログラム250の改ざん検知を行うNativeプログラム改ざん検知処理部241を有する。
Nativeプログラム250は、CPU111により実行されるプログラムであり、Javaプログラム260と連携して各機能を提供する複数のプログラムからなる。例えば、Nativeプログラム250は、プリンタI/F120やスキャナI/F121を制御するプログラム、およびメインコントローラ110の起動処理を実行するプログラムなどを含む。カーネル240によってNativeプログラム250の中から起動プログラムが呼び出され、その起動プログラムがメインコントローラ110の起動処理を行う。また、Nativeプログラム250は、プログラムの中の一つとして、Javaプログラム260の改ざん検知を行うJavaプログラム改ざん検知処理部251を有する。
Javaプログラム260は、CPU111により実行されるプログラムであり、Nativeプログラム250と連携して各機能を提供するプログラムである。例えば、Javaプログラム260は、サーバ装置180やPC190と通信して画像形成装置100の機能を活用するアプリケーションプログラムである。
図3は、画像形成装置100のファームウェアアップデート時の機能構成例を示す図である。フラッシュメモリ114は、Nativeプログラム250を記憶する。HDD115は、Javaプログラム260を記憶する。
Nativeプログラム250は、起動制御部311と、操作部制御部312と、プリンタ制御部313と、スキャナ制御部314と、USB制御部315と、通信制御部316を有する。さらに、Nativeプログラム250は、エラー通知制御部317と、改ざん検知箇所特定部318を有する。Javaプログラム260は、プログラム配信制御部319と、プログラム更新処理部320を有する。
起動制御部311は、画像形成装置100の起動時の処理を制御するプログラムであり、メインコントローラ110のOS(オペレーションシステム)を起動させ、各種プログラムを動作させるための基本システムの立ち上げを行う。
操作部制御部312は、操作部I/F119を介して、操作部ユニット130の制御を行うためのプログラムである。
プリンタ制御部313は、プリンタI/F120を介したプリンタユニット140の制御を行うためのプログラムである。スキャナ制御部314は、スキャナI/F121を介したスキャナユニット150の制御を行うためのプログラムである。
USB制御部315は、USB−HostI/F122を介して、外部USBデバイス170の制御を行うためのプログラムである。外部USBデバイス170がUSBメモリである場合、USBメモリからファームウェアアップデートに必要な更新ファイルおよび更新情報の転送処理に関する制御を行う。転送されたファイルは、HDD115に保存される。
通信制御部316は、ネットワークI/F123を介して、PC190やサーバ装置180との通信を行い、LAN160を介して、ファームウェアアップデートに必要な更新ファイルおよび更新情報の転送処理を行う。転送されたファイルは、HDD115に保存される。
エラー通知制御部317は、後に図4で説明する改ざん検知処理によりプログラムの改ざんが検知された際に、操作部ユニット130や、LAN160で接続された外部機器に対して通知するエラーの内容の制御を行う。
改ざん検知箇所特定部318は、後に図4で説明する改ざん検知処理によりプログラムの改ざんが検知された際に、改ざん検知箇所を特定し、検知された箇所がファームウェアアップデートにより復旧可能か否かを判定する。例えば、改ざん検知箇所特定部318は、改ざんされた箇所が外部記憶装置との通信制御部316や、プログラムの更新に関連する部分である場合は、その後のアップデート処理の動作が保証できないため、復旧できないと判定する。一方、改ざん検知箇所特定部318は、改ざんされた箇所がアップデート処理に影響しないプログラムであった場合は、正しいプログラムの更新により復旧が可能な場合があるので、ファームウェアアップデートによる復旧可能であると判定する。
プログラム配信制御部319は、USB制御部315や通信制御部316と連携して、外部記憶装置からの更新データの転送の制御を行う。ファームウェアアップデート時の更新データの転送処理は、メインコントローラ110内の各プログラムのバージョンと、アップデート対象のプログラムのバージョンを比較し、差異のあるものだけを配信することで、転送時間を削減することが可能になる。そのため、プログラム配信制御部319は、バージョンの差異のあるプログラムを特定して、差異のあるプログラムのみに対して外部記憶装置からの転送処理を実行する。ただし、改ざん検知時の復旧の際には、既存のプログラムの書き換えの他にも、マルウェアと呼ばれるような不正なプログラムが追加されているケースも想定されるため、差異のあるプログラムのアップデートだけでは復旧できない可能性がある。そのため、プログラム配信制御部319は、改ざん検知からの復旧のアップデートの際は、メインコントローラ110のプログラムをすべて上書きできるように、更新に必要なデータをすべて転送するように制御する。
プログラム更新処理部320は、操作部ユニット130を介してユーザからファームウェアのアップデートの実行の指示があった際や、画像形成装置100の時刻が予め設定された時刻に到達した際に、プログラムの更新処理を行う。具体的には、プログラム更新処理部320は、プログラム配信制御部319により転送されたデータを用いて、メインコントローラ110内の各プログラムの更新処理を行う。
プログラム配信制御部319およびプログラム更新処理部320によるファームウェアのアップデート処理は、具体的には下記の3つの処理に分けられる。
(1)外部USBデバイス170やサーバ装置180からのプログラムの転送処理
(2)フラッシュメモリ114に記憶された旧プログラムのバックアップ処理
(3)フラッシュメモリ114に記憶されたプログラムの更新処理
旧プログラムのバックアップ処理を実行するのは、プログラムの更新処理の間に電源の不良や記憶領域の書き込みエラー等により更新処理が正常に実行できなかった場合に、アップデート前の旧プログラムへロールバックするためのものである。改ざん検知からの復旧時の更新処理の際は、不正なプログラムがバックアップされてしまうため、旧プログラムのバックアップは実行しない。
また、プログラム配信制御部319およびプログラム更新処理部320は、Javaプログラム260の一部として構成されている例を示しているが、Nativeプログラム250の一部として構成されていてもよい。
図4(a)は、画像形成装置100が改ざん検知を行わずに起動する手順を示す図である。ブートプログラム210がBIOS220を起動し、BIOS220がローダー230を起動し、ローダー230がカーネル240を起動し、カーネル240がNativeプログラム250の中の起動プログラムを起動する。その起動プログラムがJavaプログラム260を起動し、以降はNativeプログラム250とJavaプログラム260が連携して画像形成装置100の機能を提供する。
図4(b)は、画像形成装置100が改ざん検知を行いながら起動する手順を示す図である。ROM112は、ブートプログラム210と、BIOS220を記憶する。フラッシュメモリ114は、ローダー230と、カーネル240と、Nativeプログラム250を記憶する。HDD115は、Javaプログラム260を記憶する。以下、デジタル署名を署名という。
ブートプログラム210は、BIOS220の署名検証用の公開鍵401を含む。BIOS220は、BIOS220の署名402と、ローダー230の署名検証用の公開鍵403を含む。ローダー230は、ローダー230の署名404と、カーネル240の署名検証用の公開鍵405を含む。カーネル240は、カーネル240の署名406と、Nativeプログラム250の署名検証用の公開鍵407を含む。Nativeプログラム250は、Nativeプログラム250の署名408と、Javaプログラム260の署名検証用の公開鍵409を含む。Javaプログラム260は、Javaプログラム260の署名410を含む。これらの公開鍵と署名は、あらかじめ画像形成装置100の出荷前にプログラムに対して付与されるものであるとともに、ファームウェアのアップデート時には適切に更新される。
ブートプログラム210内のBIOS改ざん検知処理部211は、BIOS220の署名検証用の公開鍵401を用いて、BIOS220の署名402の検証を行うことにより、BIOS220の改ざんの検知を行う。CPU111は、BIOS220の改ざんが検知されない場合には、BIOS220を起動する。
BIOS220内のローダー改ざん検知処理部221は、ローダー230の署名検証用の公開鍵403を用いて、ローダー230の署名404の検証を行うことにより、ローダー230の改ざんの検知を行う。CPU111は、ローダー230の改ざんが検知されない場合には、ローダー230を起動する。
ローダー230内のカーネル改ざん検知処理部231は、カーネル240の署名検証用の公開鍵405を用いて、カーネル240の署名406の検証を行うことにより、カーネル240の改ざんの検知を行う。CPU111は、カーネル240の改ざんが検知されない場合には、カーネル240を起動する。
カーネル240は、Nativeプログラム改ざん検知処理部241を含む。Nativeプログラム改ざん検知処理部241は、Nativeプログラム250の署名検証用の公開鍵407を用いて、Nativeプログラム250の署名408の検証を行うことにより、Nativeプログラム250の改ざんの検知を行う。CPU111は、Nativeプログラム250の改ざんが検知されない場合には、Nativeプログラム250を起動する。
Nativeプログラム250は、Javaプログラム改ざん検知処理部251を含む。Javaプログラム改ざん検知処理部251は、Javaプログラム260の署名検証用の公開鍵409を用いて、Javaプログラム260の署名410の検証を行うことにより、Javaプログラム260の改ざんの検知を行う。CPU111は、Javaプログラム260の改ざんが検知されない場合には、Javaプログラム260を起動する。
以上のように、改ざん検知処理部211、221、231、241、251は、それぞれ、複数のプログラムの改ざんの検証を順に行う。
図5は、画像形成装置100の処理方法を示すフローチャートであり、ファームウェアのバックアップ処理を示す。CPU111は、フラッシュメモリ114に記憶されているプログラムを実行することにより、図5の処理を行う。
ステップS501では、CPU111は、ファームウェア(プログラム)のアップデートの指示を入力する。CPU111は、操作部ユニット130を介してユーザから入力する場合もあるし、PC190やサーバ装置180から通信により入力する場合もある。
次に、ステップS502では、CPU111は、メインコントローラ110のファームフェアの差分アップデート設定がオンであるか否かを判定する。ファームウェアのアップデート処理の間は画像形成装置100の機能が使用できなくなるため、ファームウェアのアップデートの処理時間をできるだけ短縮することで、ユーザの利便性が下がることを防止できる。そのため、ファームウェアの差分アップデート設定は、デフォルトでオンに設定され、操作部ユニット130を介したユーザからの入力や、PC190やサーバ装置180からの通信により、変更が可能である。CPU111は、ファームウェアの差分アップデート設定がオンである場合には、ステップS503に進み、ファームウェアの差分アップデート設定がオフである場合には、ステップS506に進む。
ステップS503では、CPU101は、外部記憶装置から更新プログラム情報を取得し、メインコントローラ110内の各プログラムのバージョンと各更新プログラムのバージョンを比較する。外部記憶装置は、USB−HostI/F122を介した外部USBデバイス170、ネットワークI/F123を介したサーバ装置180またはPC190である。
次に、ステップS504では、CPU111は、メインコントローラ110内の複数のプログラムに対して、バージョンが異なる更新プログラムのみを外部記憶装置から受信する。
次に、ステップS505では、CPU111は、ステップS504で受信した更新プログラムを用いて、メインコントローラ110内の各プログラムの更新処理を実行する。ファームウェアの差分アップデート設定がオンである場合、ステップS504における受信処理とステップS505における更新処理は、パージョンが異なる更新プログラムの分だけ行えばよいので、アップデート処理全体の所要時間が削減される。その後、CPU111は、ステップS509に進む。
ステップS506では、CPU111は、メインコントローラ110内の複数のプログラムに対応する複数の更新プログラムのすべてを外部記憶装置から受信する。
次に、ステップS507では、CPU111は、メインコントローラ110内の旧プログラムをすべて削除する。
次に、ステップS508では、CPU111は、ステップS506で受信した全更新プログラムを用いて、メインコントローラ110内の全プログラムの更新処理を実行する。その後、CPU111は、ステップS509に進む。
ステップS509では、CPU111は、画像形成装置100の再起動処理を行う。次に、ステップS510では、CPU111は、画像形成装置100の通常起動処理を実行し、図5の処理を終了する。
図6は、画像形成装置100の処理方法を示すフローチャートであり、改ざん検知時の復旧処理を示す。CPU111は、フラッシュメモリ114に記憶されているプログラムを実行することにより、図6の処理を行う。
ステップS601では、改ざん検知処理部211、221、231、241および251は、BIOS220、ローダー230、カーネル240、Nativeプログラム250およびJavaプログラム260の改ざんの検知の有無を判定する。この際、改ざん検知処理部211、221、231、241および251は、判定部として機能する。BIOS220、ローダー230、カーネル240、Nativeプログラム250およびJavaプログラム260は、それぞれ、プログラムである。改ざん検知処理部211、221、231、241および251の少なくとも1個が改ざんを検知したと判定した場合には、CPU111は、ステップS602に進む。
次に、ステップS602では、エラー通知制御部317は、改ざんを検知したことを示すエラー画面を操作部ユニット130に対して表示する。なお、エラー通知制御部317は、LAN160で接続された外部機器に対して、エラー画面を表示してもよい。改ざん検知のタイミングによっては、BIOS改ざん検知処理部211、ローダー改ざん検知処理部221またはカーネル改ざん検知処理部231が、操作部ユニット130にエラー画面を表示する。
次に、ステップS603では、CPU111は、プログラムの更新により復旧可能な改ざんであるか否かを判定する。改ざんが検知されたプログラムがローダー230やカーネル240のような、起動処理に関連するプログラムである場合は、起動処理がNativeプログラム250まで進まない場合があるので、プログラムの更新による復旧はできない。CPU111は、プログラムの更新により復旧可能な改ざんである場合には、ステップS604に進み、プログラムの更新により復旧可能な改ざんでない場合には、エラーを表示し、図6の処理を終了する。
ステップS604では、改ざん検知箇所特定部318は、判定部として機能し、改ざんを検知した箇所の特定を行い、プログラムの更新に関するプログラムの改ざんが検知されたか否かを判定する。プログラムの更新に関するプログラムは、更新プログラムを受信する機能、更新プログラムを復号する機能、または更新プログラムを用いて更新する機能を有する。例えば、改ざんされた箇所が外部記憶装置との通信制御部316や、プログラムの更新に影響するプログラムである場合、その後のプログラムの更新処理の動作が保証できない。改ざん検知箇所特定部318は、プログラムの更新に関するプログラムの改ざんが検知されていないと判定した場合には、復旧可能であるので、ステップS605に進む。また、改ざん検知箇所特定部318は、プログラムの更新に関するプログラムの改ざんが検知されたと判定した場合には、復旧不可であるので、図6の処理を終了する。
ステップS605では、CPU111は、画像形成装置100が通信制御部316によりプログラムを受信するためのサーバ装置180に接続されているか否かを判定する。画像形成装置100は、設置環境によってはサーバ装置180には接続されていない場合やLAN160に正しく接続されていない場合があるので、CPU111は、サーバ装置180に接続されているか否かを判定する。CPU111は、画像形成装置100がサーバ装置180に接続されている場合には、ステップS607に進み、画像形成装置100がサーバ装置180に接続されていない場合には、ステップS606に進む。
ステップS606では、CPU111は、サーバ装置180以外の外部記憶装置からプログラムを受信可能であるか否かを判定する。サーバ装置180以外の外部記憶装置は、例えば、PC190や外部USBデバイス170のUSBメモリである。CPU111は、サーバ装置180以外の外部記憶装置からプログラムを受信可能である場合には、ステップS607に進み、サーバ装置180以外の外部記憶装置からプログラムを受信可能でない場合には、図6の処理を終了する。
ステップS607では、CPU111は、改ざんされたプログラムを削除し、全プログラムの更新による復旧処理を実行する内容を操作部ユニット130に表示し、復旧処理の実行確認の入力を受け付ける。CPU111は、自動的に復旧処理を実行するように制御してもよいし、操作部ユニット130を介してユーザからの実行確認の入力を受け付けてもよいし、PC190やサーバ装置180からの通信により実行確認の入力を受け付けてもよい。また、CPU111は、予め設定された時刻に実行確認を入力してもよい。CPU111が操作部ユニット130に表示する画面の例を図7で後述する。CPU111は、復旧処理を実行する旨を入力した場合には、ステップS608に進み、復旧処理をキャンセルする旨を入力した場合には、図6の処理を終了する。
ステップS608では、プログラム配信制御部319は、ファームウェアの差分アップデート設定をオフにする。プログラムの改ざんが検知された場合には、既存のプログラムの書き換えの他に、不正なプログラムが追加されている場合が想定される。その場合、ファームウェアの差分アップデート設定がオンの場合には、プログラムを復旧できない可能性がある。改ざん検知から復旧するためには、メインコントローラ110のプログラムを削除して、再度全プログラムを上書きすることで、確実に復旧することができる。そのため、プログラム配信制御部319は、ファームウェアの差分アップデート設定をオフにする。
次に、ステップS609では、プログラム配信制御部319は、ROM112、フラッシュメモリ114およびHDD115内の複数のプログラムに対応する複数の更新プログラムを外部記憶装置から受信し、その複数の更新プログラムをHDD115に保存する。外部記憶装置は、サーバ装置180(S605でYESの場合)、または、USB−HostI/F122を介した外部USBデバイス170やネットワークI/F123を介したPC190(S606でYESの場合)である。
次に、ステップS610では、プログラム更新処理部320は、ROM112、フラッシュメモリ114およびHDD115内の既存の複数のプログラムを削除する。プログラム更新処理部320は、更新部として機能し、HDD115に保存されている複数の更新プログラムを用いて、ROM112、フラッシュメモリ114およびHDD115内の複数のプログラムを更新する。なお、プログラム更新処理部320は、HDD115に保存されている複数の更新プログラムを復号し、復号した複数の更新プログラムを用いて、ROM112、フラッシュメモリ114およびHDD115内の複数のプログラムを更新してもよい。
次に、ステップS611では、改ざん検知処理部211、221、231、241および251は、更新されたプログラム群に対して、図4で説明した段階的なプログラムの検証処理を実行する。
ステップS612では、改ざん検知処理部211、221、231、241および251は、上記の検証処理により、正当なプログラムが格納されているいか否かを判定する。改ざん検知処理部211、221、231、241および251は、正当なプログラムが格納されている場合には、ステップS614に進み、正当なプログラムが格納されていない場合には、ステップS613に進む。
ステップS614では、CPU111は、画像形成装置100を通常起動し、図6の処理を正常終了する。
ステップS613では、CPU111は、復旧不可能な改ざんであるため、改めて操作部ユニット130に対して改ざん検知エラーを表示し、図6の処理を終了する。
図7は、図6のステップS607で操作部ユニット130に表示させる画面の一例を示す図である。CPU111は、プログラムの改ざんを検知した旨を表示し、適切なプログラムを上書きすることで復旧可能であることと、適切なプログラムをすべて取得して上書きするため一定の時間がかかることを表示する。OKボタン701とキャンセルボタン702が選択可能となっている。OKボタン701が選択された場合、CPU111は、外部記憶装置から全更新プログラムを受信し、上書きによるプログラムの更新を行う。
以上のように、画像形成装置100は、復旧処理により、プログラムの改ざんに伴う部品交換やサービス出動に関わる物理的なコストを削減し、復旧までの間のダウンタイムを削減することができる。また、画像形成装置100は、バージョンが異なる更新プログラムのみではなく、すべての更新プログラムを上書きすることにより、プログラムが改ざんされた状態からより確実に復旧することができる。
なお、検知処理部211、221、231、241および21は、プログラムの改ざんの検知に代わりに、プログラムの破損または読み込み不良の検知を行ってもよい。
ステップS601では、検知処理部211、221、231、241および251は、複数のプログラムの不良(破損または読み込み不良)の検知の有無を判定する。検知処理部211、221、231、241および251は、少なくとも1個のプログラムの不良(破損または読み込み不良)を検知したと判定した場合には、ステップS602に進む。
ステップS604では、改ざん検知箇所特定部318は、プログラムの更新に関するプログラムの不良(破損または読み込み不良)が検知されたか否かを判定する。改ざん検知箇所特定部318は、プログラムの更新に関するプログラムの不良(破損または読み込み不良)が検知されたと判定した場合には、図6の処理を終了する。また、改ざん検知箇所特定部318は、プログラムの更新に関するプログラムの不良(破損または読み込み不良)が検知されていないと判定した場合には、ステップS605に進む。
(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
以上、本発明の実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 画像形成装置、211 BIOS改ざん検知処理部、231 カーネル改ざん検知処理部、241 Nativeプログラム改ざん検知処理部、251 Javaプログラム改ざん検知処理部、318 改ざん検知箇所特定部、319 プログラム配信制御部、320 プログラム更新処理部

Claims (8)

  1. 複数のプログラムの不良の検知の有無を判定する第1の判定手段と、
    前記第1の判定手段により少なくとも1個のプログラムの不良を検知したと判定された場合には、プログラムの更新に関するプログラムの不良が検知されたか否かを判定する第2の判定手段と、
    前記第2の判定手段により前記プログラムの更新に関するプログラムの不良が検知されていないと判定された場合には、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新する第1の更新手段と
    を有することを特徴とする情報処理装置。
  2. 前記第1の判定手段は、前記複数のプログラムの改ざんの検知の有無を判定し、
    前記第2の判定手段は、前記第1の判定手段により少なくとも1個のプログラムの改ざんを検知したと判定された場合には、プログラムの更新に関するプログラムの改ざんが検知されたか否かを判定し、
    前記第1の更新手段は、前記第2の判定手段により前記プログラムの更新に関するプログラムの改ざんが検知されていないと判定された場合には、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新することを特徴とする請求項1に記載の情報処理装置。
  3. 前記第1の判定手段は、前記複数のプログラムの改ざんの検証を順に行うことを特徴とする請求項1または2に記載の情報処理装置。
  4. 前記第1の判定手段は、前記複数のプログラムの破損または読み込み不良の検知の有無を判定し、
    前記第2の判定手段は、前記第1の判定手段により少なくとも1個のプログラムの破損または読み込み不良を検知したと判定された場合には、プログラムの更新に関するプログラムの破損または読み込み不良が検知されたか否かを判定し、
    前記第1の更新手段は、前記第2の判定手段により前記プログラムの更新に関するプログラムの破損または読み込み不良が検知されていないと判定された場合には、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新することを特徴とする請求項1に記載の情報処理装置。
  5. 前記プログラムの更新に関するプログラムは、更新プログラムを受信する機能、更新プログラムを復号する機能、または更新プログラムを用いて更新する機能を有することを特徴とする請求項1〜4のいずれか1項に記載の情報処理装置。
  6. プログラムのアップデートの指示を入力した場合、第1の設定では、前記複数のプログラムに対してバージョンが異なる更新プログラムのみを受信し、前記受信した更新プログラムを用いてプログラムを更新し、第2の設定では、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新する第2の更新手段をさらに有することを特徴とする請求項1〜5のいずれか1項に記載の情報処理装置。
  7. 複数のプログラムの不良の検知の有無を判定する第1の判定ステップと、
    前記第1の判定ステップにより少なくとも1個のプログラムの不良を検知したと判定された場合には、プログラムの更新に関するプログラムの不良が検知されたか否かを判定する第2の判定ステップと、
    前記第2の判定ステップにより前記プログラムの更新に関するプログラムの不良が検知されていないと判定された場合には、前記複数のプログラムに対応する複数の更新プログラムを受信し、前記複数の更新プログラムを用いて前記複数のプログラムを更新する第1の更新ステップと
    を有することを特徴とする情報処理装置の処理方法。
  8. コンピュータを、請求項1〜6のいずれか1項に記載された情報処理装置の各手段として機能させるためのプログラム。
JP2020008276A 2020-01-22 2020-01-22 情報処理装置、情報処理装置の処理方法およびプログラム Pending JP2021117523A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020008276A JP2021117523A (ja) 2020-01-22 2020-01-22 情報処理装置、情報処理装置の処理方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020008276A JP2021117523A (ja) 2020-01-22 2020-01-22 情報処理装置、情報処理装置の処理方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2021117523A true JP2021117523A (ja) 2021-08-10

Family

ID=77175721

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020008276A Pending JP2021117523A (ja) 2020-01-22 2020-01-22 情報処理装置、情報処理装置の処理方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2021117523A (ja)

Similar Documents

Publication Publication Date Title
US10225426B2 (en) Image forming apparatus having firmware update function, method of controlling the same, program for executing the method, and storage medium
US11669609B2 (en) Information processing apparatus, control method of the same, and storage medium
US11010153B2 (en) Information processing apparatus that detects falsification of a program, method of controlling the same, and storage medium
JP2019212114A (ja) 情報処理装置、その制御方法およびプログラム
JP2020160747A (ja) 情報処理装置、その制御方法、及びプログラム
US20220284103A1 (en) Information processing apparatus, information processing method, and storage medium
US11526597B2 (en) Information processing apparatus, method of controlling the same, and storage medium
JP2020082441A (ja) 画像形成装置、その制御方法、及びプログラム
JP7374780B2 (ja) 情報処理装置および情報処理装置の制御方法
JP2021117523A (ja) 情報処理装置、情報処理装置の処理方法およびプログラム
US11947948B2 (en) Information processing apparatus, information processing method, and storage medium
JP7182966B2 (ja) 情報処理装置、情報処理装置の起動方法、及びプログラム
US20230132214A1 (en) Information processing apparatus and method of the same
JP2021117589A (ja) 情報処理装置、情報処理装置の処理方法およびプログラム
JP2003084982A (ja) プログラムを画像処理装置にインストールする方法及びそのシステム、並びにプログラム書き換え機能を有する画像処理装置及び画像処理装置のプログラム書き換え方法
JP2020154601A (ja) 情報処理装置とその制御方法、及びプログラム
JP2021140601A (ja) 情報処理装置、その制御方法、及びプログラム
US11928217B2 (en) Information processing apparatus, control method of information processing apparatus, and storage medium
JP2020053002A (ja) 情報処理装置とその制御方法、及びプログラム
JP2004127106A (ja) 情報処理装置、画像形成装置及びプログラム更新方法
JP2023064046A (ja) 情報処理装置、及びその起動方法
JP2021114156A (ja) 情報処理装置、情報処理装置の処理方法およびプログラム
JP2023172570A (ja) 情報処理装置及び情報処理装置の制御方法
JP2021128469A (ja) 情報処理装置と、情報処理装置における起動方法
JP2022157063A (ja) 情報処理装置、情報処理方法およびプログラム