IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は27日、東芝の無線LAN内蔵SDカード「FlashAir」に関して、アクセス制限不備の脆弱性が存在することを公開した。

影響を受けるFlashAir製品は以下の通り。

  • FlashAir SD-WD/WC シリーズ Class 6 モデル ファームウェアバージョン 1.00.04 およびそれ以降
  • FlashAir SD-WD/WC シリーズ Class 10 モデル W-02 ファームウェアバージョン 2.00.02 およびそれ以降
  • FlashAir SD-WE シリーズ Class 10 モデル W-03

「FlashAir SD-WE」シリーズ

FlashAirには「インターネット同時接続機能」があり、スマートフォンなどでFlashAirの無線LANに接続して写真データなどを閲覧しつつ、インターネット上のWebサイトにもアクセスできる。FlashAirの無線LAN機能が、インターネット接続している無線LANアクセスポイント/ルーターに接続することによって、実現される機能だ。

今回の脆弱性は、該当するFlashAirの初期設定に起因する。初期設定のままでインターネット同時接続機能を有効にすると、インターネット側からFlashAirへのアクセスを試みたとき、認証なしで接続できてしまう場合があるというもの。これにより、FlashAirに記録されているデータを不正に取得される可能性がある。

また、FlashAir Class 10 SD-WE シリーズ W-03において、 WebDAVによるアクセスとファイルアップロードを許可するよう設定している場合、記録データを改ざんされたり、任意のLuaスクリプトを実行されたりする可能性があるという。

対策としては、FlashAirの設定で認証機能を有効にしたうえで、インターネット同時接続機能を利用する。ただ、FlashAir内の隠しフォルダに記録されている「config.cgi」を編集し、BASIC認証かDigest認証を有効にするという操作が必要。この方法は相応の知識がないと難しいため、不安があるようなら、FlashAirのインターネット同時接続機能を無効にして使うことをおすすめする。

東芝に問い合わせたところ、FlashAirのファームウェア更新や、各OS用のユーティリティソフトによって、今回の脆弱性に対処する可能性があるそうだ。詳細は「FlashAir Developers」を参照してほしいが、FlashAir Developersのユーザーサポートでも今回の脆弱性に対応するとのこと。2016年9月27日の時点では、今回の脆弱性が原因となる被害報告は寄せられていないという。