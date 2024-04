JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月19日、「JVNVU#91696361: LINE client for iOSにおけるサーバー証明書の検証不備の脆弱性」において、LINEヤフーの「LINE Client for iOS」の「金融モジュール」に、ログを送信する際にTLS証明書の検証を行わない脆弱性が存在するとして、注意を喚起した。こ脆弱性を悪用されると、中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者に通信データを窃取される可能性がある。

JVNVU#91696361: LINE client for iOSにおけるサーバー証明書の検証不備の脆弱性○脆弱性に関する情報脆弱性に関する情報は次のページにまとまっている。CVE-2023-5554 - LY Corporation脆弱性の情報(CVE)は次のとおり。CVE-2023-5554 - ログ送信時にTLS証明書の検証を行わない脆弱性○脆弱性が存在する製品脆弱性の存在する製品およびバージョンは次のとおり。LINE Client for iOS 13.12.0およびこれ以降から13.16.0より前のバージョン○脆弱性が修正された製品脆弱性が修正された製品およびバージョンは次のとおり。LINE Client for iOS 13.16.0LINEヤフーはこの脆弱性の深刻度を警告(Warning)と評価しているが、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は緊急(Critical)と評価しており注意が必要。JPCERT/CCは、開発者が提供する情報にもとづいて最新版にアップデートすることを推奨している。