無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

ニュースの概要

独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は2016年9月27日、無線LANの接続機能を搭載したSDHCメモリカード FlashAir におけるアクセス制限不備の脆弱性を公開した。

同脆弱性の影響を受けるのは、FlashAir SD-WD/WC シリーズのClass 6 モデルでファームウェア1.00.04以降、同じくClass 10 モデル W-02でファームウェア2.00.02以降、FlashAir SD-WE シリーズのClass 10 モデル W-03。

同製品には、初期設定のままインターネットで同時接続機能を有効にした場合に、インターネットの接続側ネットワークから認証なしで接続が可能になる脆弱性が存在しており、記録されているファイル・データなどが第三者に窃取される可能性があり、また、モデルW-03では、認証設定を追加せずにWebDAVによるアクセスとファイルのアップロードを許可するように設定していると、記録されたファイルやデーターが第三者に改ざんされたり、任意のLuaスクリプトを実行される可能性があるという。

その後の対応

同製品のウェブサーバへの接続時に認証を要求するよう設定情報を追加し再起動することで、安全にインターネット同時接続機能を利用することができるという。

関連リンク
・FlashAir におけるアクセス制限不備の脆弱性
・FlashAir Developersによる対策方法について