ニュース

FlashAirのインターネット同時接続機能にアクセス制限不備の脆弱性、初期設定の変更で対策可能

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は27日、無線LAN接続機能を搭載したSDHCメモリカード「FlashAir」におけるアクセス制限不備の脆弱性を公表した。認証設定を追加することで対策が行える。

 影響を受けるのは、「FlashAir SD-WD/WC」シリーズのClass 6モデルでファームウェア1.00.04以降、同じくClass 10モデル「W-02」でファームウェア2.00.02以降、「FlashAir SD-WE」シリーズのClass 10モデル「W-03」。

 FlashAirには、初期設定のままインターネット同時接続機能を有効にした場合に、インターネット接続側ネットワークから認証なしで接続が可能になる脆弱性「CVE-2016-4863」が存在しており、記録されたファイルやデータを第三者に取得される可能性がある。

 また、モデルW-03では、認証設定を追加せずにWebDAVによるアクセスとファイルアップロードを許可するよう設定していると、記録されたファイルやデータが第三者に改ざんされたり、任意のLuaスクリプトを実行される可能性がある。共通脆弱性評価システムCVSS v3による評価スコアは5.0。

 FlashAirのウェブサーバーへの接続時に認証を要求するよう設定情報を追加することで、安全にFlashAirのインターネット同時接続機能を利用可能になる。

 認証情報は「/SD_WLAN/CONFIG」の「Vendor」セクションに以下の行を追記することで設定を行える。HTTPサーバーが使用する認証方法を設定するには、「HTTPDMODE=1」(Basic認証)または「HTTPDMODE=2」(Digest認証)を追記する。また、Basic認証で使われるパスワード、またはDigest認証で使われるハッシュ値を、例えば「12345678」としたい場合は、「HTTPDPASS=12345678」と追記することで設定できる。Basic認証におけるユーザー名は、例えば「flashair」に設定する場合は「HTTPDUSER=flashair」と追記を行うことで設定できる。

 上記の設定を反映するには、FlashAirをいったん取り外して再挿入するなどして再起動する必要がある。また、「SD_WLAN」フォルダーは隠しフォルダーになっているため、設定を変更するには、これを扱えるツールを利用する必要がある。