お客様各位
株式会社東芝 ストレージ&デバイスソリューション社

FlashAirのフォトシェア機能におけるアクセス制限不備の脆弱性について

平素は、弊社製品をご愛用いただき、誠にありがとうございます。
弊社製FlashAir SDHCメモリカード(SD-WEシリーズ<W-03>)およびFlashAir SDHCメモリカード(SD-WD/WCシリーズ<W-02>)(以下、合わせて「対象製品」といいます。)のフォトシェア機能において、アクセス制限不備の脆弱性があることがわかりました。ソフトウェア更新ツールをご使用いただき、お手持ちの対象製品のソフトウェアを更新し、フォトシェア機能をご利用の都度、FlashAir Android / iOSアプリにてフォトシェアモード用のSSID / パスワードを必ず初期値以外に変更してからご利用ください。
なお、ソフトウェア更新ツールは「FlashAirのフォトシェア機能におけるパスワードの固定の脆弱性について」でご案内しているものと同じです。

対象製品とバージョン

製品名 型番 容量表示 ソフトウェア
バージョン
FlashAir™ SDHCメモリカード(SD-WEシリーズ<W-03>)
FlashAir SDHCメモリカード
(SD-WEシリーズ<W-03>)
SD-WE032G 32GB V3.00.01
およびそれ以前
SD-WE016G 16GB
SD-WE008G 8GB
FlashAir™ SDHCメモリカード(SD-WD/WCシリーズ<W-02>)
FlashAir SDHCメモリカード
(SD-WD/WCシリーズ<W-02>)
SD-WD032G 32GB V2.00.03
およびそれ以前
SD-WC016G 16GB
SD-WC008G 8GB

ソフトウェアバージョンの確認方法

<FlashAir Android / iOSアプリを使用して確認する場合>
FlashAirと接続した状態で、FlashAirアプリの「FlashAir情報」で確認することができます。

<FlashAir 設定ソフトウェアを使用して確認する場合>
パソコンのSDHC 対応SDカードスロットまたはパソコンに接続したSDHC メモリカード・リーダ・ライターにFlashAirを挿入し、FlashAir 設定ソフトウェアを起動します。FlashAir 設定ソフトウェアのメインメニュー画面右下にソフトウェアバージョンが表示されます。

脆弱性の内容

フォトシェア実行中のFlashAirに接続できた場合、アクセスの方法によっては、フォトシェアで選択した日付以外の写真も参照される可能性があります。

脆弱性のもたらす脅威

フォトシェアで選択した日付以外の写真も閲覧されたり、保存されたりするおそれがあります。

対策方法

下表のソフトウェア更新ツールをご使用いただき、お手持ちの対象製品のソフトウェアを更新し、フォトシェア機能をご利用の都度、FlashAir Android / iOSアプリにてフォトシェアモード用のSSID / パスワードを必ず初期値以外に変更してご利用ください。特にパスワードは、初期値やパスワードなし(空欄のまま設定)で使用しないでください。ソフトウェア更新後は、フォトシェア機能はFlashAir Android / iOSアプリからのみご利用いただけます。この対策により、第三者から不正にアクセスされることはなくなります。
ただし、シェアするためにパスワードを教えた相手からはフォトシェアで選択した日付以外の写真にもアクセスされてしまうおそれがあることをご理解の上、ご利用ください。見られたくないファイルは、フォトシェアを開始する前に、必要に応じてバックアップを取ったうえでFlashAirから削除するようお願いいたします。

対象製品 ソフトウェア更新ツール
およびバージョン
備考
FlashAir SDHCメモリカード
(SD-WEシリーズ<W-03>)
無線LAN搭載
SDHCメモリカード
FlashAir
ソフトウェア更新ツール
(SD-WEシリーズ<W-03>)
V3.00.02
2017年4月24日公開
FlashAir SDHCメモリカード
(SD-WD/WCシリーズ<W-02>)
無線LAN搭載
SDHCメモリカード
FlashAir
ソフトウェア更新ツール
(SD-WD/WCシリーズ<W-02>)
V2.00.04
2017年5月15日公開

関連情報

本脆弱性に関連する情報は、以下の通りです。

謝辞

脆弱性発見者及び連絡をしていただいたJPCERT/CCの方々に感謝いたします。

脆弱性届出者: 三井物産セキュアディレクション株式会社 諌山貴由 様

製品および本件に関するお問い合わせ先

東芝コンシューママーケティング株式会社
ブリッジメディア商品サポートセンター

電話

フリーダイヤル0120-538106

受付時間 平日 9:00~20:00、土日・祝祭日 9:00~18:00
(12月31日~1月3日と法定点検日1日を除く)

お問い合わせいただく前の注意

  • お客様からいただく個人情報は、東芝または東芝の子会社・関連会社、および、協力会社が行う本件の対応のために利用させていただきます。
  • 利用目的の範囲内で、お客様の個人情報を委託業者に預託することがございますが、弊社と同等の管理を行わせます。
  • お客様は、お客様ご本人の個人情報について、開示、訂正、削除をご請求いただけます。その際は上記お問い合わせ先までご連絡ください。
  • お問い合わせ窓口の個人情報の取扱全般に関する考え方をご覧になりたい方は東芝の個人情報保護方針のページをご覧ください。
  • 16歳未満のお客様は、保護者の同意を得た上でお問い合わせください。

以上