お客様各位
株式会社東芝 ストレージ&デバイスソリューション社

(続報)NFC搭載SDメモリカード、FlashAir、TransferJet搭載SDメモリカードのWindows® 用ソフトウェアのインストーラにおけるDLL 読み込みに関する脆弱性について

平素は、弊社製品をご愛用いただき、誠にありがとうございます。
弊社製NFC搭載SDメモリカード、FlashAir、TransferJet搭載SDメモリカード(以下、合わせて「対象製品」といいます。)用として弊社サイトで公開しておりましたWindows® 用ソフトウェア(以下、「対象ソフトウェア」)のインストーラに脆弱性が存在することがわかりましたので、2017年3月23日以前にダウンロードされた対象ソフトウェアのインストーラは実行せず、パソコンから削除してくださいますようお願いいたします。
弊社の対応としましては、2017年3月23日より、弊社サイトの対象ソフトウェアのインストーラ提供を停止しております。修正が完了したインストーラから順次提供を再開いたします。
なお、すでにインストール済みの対象ソフトウェアには問題はございませんので、引き続きご利用いただけますが、インストーラは再実行しないように削除をお願いいたします。対象ソフトウェアをWindows® PCにて新たにインストールまたはバージョンアップする場合には、2017年4月13日以降に順次公開される最新版のインストーラをご使用くださいますようお願いいたします。

2017年4月24日より、FlashAirソフトウェア更新ツール(SD-WEシリーズ<W-03>)、FlashAir™ソフトウェア更新ツール(SD-WB/WLシリーズ)、TransferJet(近接無線通信)搭載SDHCメモリカード 設定ソフトウェア、TransferJet(近接無線通信)搭載SDHCメモリカード ファームウェア更新ツールのインストーラ提供を再開しました。

対象製品

製品名 型番 容量表示
EXCERIA™ NFC搭載SDHC/SDXCメモリカード
EXCERIA NFC搭載
SDHC/SDXCメモリカード
SD-NFC64GB 64GB
SD-NFC32GB 32GB
SD-NFC16GB 16GB
SD-NFC08GB 8GB
NFC搭載 SDHCメモリカード
NFC搭載 SDHCメモリカード
SD-NFC32GA 32GB
SD-NFC16GA 16GB
SD-NFC08GA 8GB
FlashAir™ SDHCメモリカード(SD-WEシリーズ<W-03>)
FlashAir SDHCメモリカード
(SD-WEシリーズ<W-03>)
SD-WE032G 32GB
SD-WE016G 16GB
SD-WE008G 8GB
FlashAir™ SDHCメモリカード(SD-WD/WCシリーズ<W-02>)
FlashAir SDHCメモリカード
(SD-WD/WCシリーズ<W-02>)
SD-WD032G 32GB
SD-WD016G 16GB
SD-WD008G 8GB
FlashAir™ SDHCメモリカード(SD-WB/WLシリーズ)
FlashAir SDHCメモリカード
(SD-WB/WLシリーズ)
SD-WB008G 8GB
SD-WL008G 8GB
TransferJet™搭載SDHCメモリカード
TransferJet搭載
SDHCメモリカード
SD-TJA016G 16GB

対象ソフトウェア

2017年3月23日以前にダウンロードされた以下のWindows® 用ソフトウェアのインストーラに脆弱性があります。

  • Windows®用NFC搭載 SDHC/SDXCメモリカードソフトウェア更新ツール
  • Windows®用FlashAir設定ソフトウェア
  • Windows®用FlashAirソフトウェア更新ツール(SD-WEシリーズ<W-03>)
  • Windows®用FlashAirソフトウェア更新ツール(SD-WD/WCシリーズ<W-02>)
  • Windows®用FlashAirソフトウェア更新ツール(SD-WB/WLシリーズ)
  • Windows®用TransferJet搭載SDHCメモリカード 設定ソフトウェア
  • Windows®用TransferJet搭載SDHCメモリカード ファームウェア更新ツール

脆弱性の内容

2017年3月23日以前にダウンロードされた対象ソフトウェアのインストーラには、DLL(Dynamic Link Library: 動的リンクライブラリ)を読み込む際の検索パスに問題があり、実行された際に意図しないDLLを読み込んでしまう問題があることが判明しました。

脆弱性のもたらす脅威

お客様のWindows® PC内に悪意のある第三者による不正なDLLが存在した場合に、2017年3月23日以前にダウンロードされた対象ソフトウェアのインストーラを実行すると、お客様のWindows® PC上でお客様の意図しない操作を実行されてしまう可能性があります。

対策方法

2017年3月23日以前にダウンロードされた以下の対象ソフトウェアのインストーラをお持ちのお客様は、当該ファイルを実行せず、パソコンから削除してくださいますようお願いいたします。なお、すでにインストール済みの対象ソフトウェアには問題はございませんので、引き続きご利用いただけますが、インストーラは再実行しないように削除をお願いいたします。

対象ソフトウェア名 脆弱性のあるインストーラのファイル名
NFC搭載 SDHC/SDXCメモリカード
ソフトウェア更新ツール
V1.00.03およびそれ以前
NFCSDFWUpdateToolV1_v10003.exe
NFCSDFWUpdateToolV1_v10001.exe
無線LAN搭載SDHCメモリカード
FlashAir設定ソフトウェア
V3.0.2およびそれ以前
FlashAir.exe
無線LAN搭載SDHCメモリカード
FlashAirソフトウェア更新ツール
(SD-WEシリーズ<W-03>)
V3.00.01
FlashAirFWUpdateToolV3_v30001.exe
無線LAN搭載SDHCメモリカード
FlashAirソフトウェア更新ツール
(SD-WD/WCシリーズ<W-02>)
V2.00.03 およびそれ以前
FAFWUpdateToolV2_v20003.exe
FAFWUpdateToolV2_v20002.exe
無線LAN搭載SDHCメモリカード
FlashAirソフトウェア更新ツール
(SD-WB/WLシリーズ)
V1.00.04 およびそれ以前
FAFWUpdateIns_v10004.exe
TransferJet(近接無線通信)
搭載SDHCメモリカード
設定ソフトウェア
V1.02 およびそれ以前
TransferJet.exe
TransferJet(近接無線通信)
搭載SDHCメモリカード
ファームウェア更新ツール
V1.00.06 およびそれ以前
TransferJetFWUpdateToolV1_v10006.exe
TransferJetFWUpdateToolV1_v10005.exe
TransferJetFWUpdateToolV1_v10004.exe

インストーラの削除手順

お手持ちの対象製品に関連する上記リストのインストーラをWindows® PC上で検索して、削除してください。
※以降の図は、Windows® 8.1の画面です。

  1. 1. タスクバーから「エクスプローラー」を開きます。
  2. 2. 「PC」(Windows® 8.1、Windows® 10の場合)または「コンピュータ」(Windows Vista®、Windows® 7の場合)を開きます。
  3. 3. 画面右上の検索ボックスに検索するファイルのファイル名を入力します。
  4. 4. 検索結果の一覧で当該ファイルが見つかった場合は、ファイルを右クリックし、表示されるメニューから「削除」を選択してください。

今後のご利用について

対象ソフトウェアをWindows® PCにて新たにインストールまたはバージョンアップする場合には、2017年4月13日以降に公開される最新版のインストーラをご使用くださいますようお願いいたします。修正版は以下のファイル名で公開予定です。

対象ソフトウェア名 修正版インストーラのファイル名
(ZIP形式で圧縮されております。)
備考
NFC搭載 SDHC/SDXCメモリカード
ソフトウェア更新ツール
V1.00.03
NFCSDFWUpdateToolV1_v10003_a.zip 2017年4月13日公開
無線LAN搭載SDHCメモリカード
FlashAir設定ソフトウェア
V3.0.3
FlashAir_tool_v303_a.zip 2017年4月13日公開
無線LAN搭載SDHCメモリカード
FlashAirソフトウェア更新ツール
(SD-WEシリーズ<W-03>)
V3.00.02
FlashAirFWUpdateToolV3_v30002_a.zip 2017年4月24日公開
無線LAN搭載SDHCメモリカード
FlashAirソフトウェア更新ツール
(SD-WD/WCシリーズ<W-02>)
V2.00.04
FAFWUpdateToolV2_v20004_a.zip 5月中に公開予定
無線LAN搭載SDHCメモリカード
FlashAirソフトウェア更新ツール
(SD-WB/WLシリーズ)
V1.00.04
FAFWUpdateIns_v10004_a.zip 2017年4月24日公開
TransferJet(近接無線通信)
搭載SDHCメモリカード
設定ソフトウェア
V1.02
TransferJet_tool_v102_a.zip 2017年4月24日公開
TransferJet(近接無線通信)
搭載SDHCメモリカード
ファームウェア更新ツール
V1.00.08
TransferJetFWUpdateToolV1_v10008_a.zip 2017年4月24日公開

関連情報

本脆弱性に関連する情報は、以下の通りです。

謝辞

脆弱性発見者及び連絡をして戴いたJPCERT/CCの方々に感謝いたします。

脆弱性届出者: NTTコミュニケーションズ株式会社 東内裕二 様

製品および本件に関するお問い合わせ先

東芝コンシューママーケティング株式会社
ブリッジメディア商品サポートセンター

電話

フリーダイヤル0120-538106

受付時間 平日 9:00~20:00、土日・祝祭日 9:00~18:00
(12月31日~1月3日と法定点検日1日を除く)

お問い合わせいただく前の注意

  • お客様からいただく個人情報は、東芝または東芝の子会社・関連会社、および、協力会社が行う本件の対応のために利用させていただきます。
  • 利用目的の範囲内で、お客様の個人情報を委託業者に預託することがございますが、弊社と同等の管理を行わせます。
  • お客様は、お客様ご本人の個人情報について、開示、訂正、削除をご請求いただけます。その際は上記お問い合わせ先までご連絡ください。
  • お問い合わせ窓口の個人情報の取扱全般に関する考え方をご覧になりたい方は東芝の個人情報保護方針のページをご覧ください。
  • 16歳未満のお客様は、保護者の同意を得た上でお問い合わせください。

以上