ドコモ、au、ソフトバンクの携帯大手3キャリアが合同で提供するメッセージアプリ「+メッセージ」について、セキュリティ情報などを手がける情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)が脆弱性を指摘している。

本件は、情報セキュリティ早期警戒パートナーシップに基づき、 LINE株式会社のma.la氏からの報告により発覚した。

脆弱性の内容はSSLサーバ証明書の検証不備。一般的な処理ではSSLサーバ証明書の正当性が検証できない場合、警告を出すことになっているが、「+メッセージ」では不正なSSLサーバ証明書であっても警告を出さずに接続してしまうという問題があった。

これにより、中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行われ、個人情報などが不正に取得される危険性がある。

対策としては、脆弱性は、「+メッセージ」の古いバージョンで確認されており、最新版へアップデートすることで対応できる。

発表資料
URL:https://jvn.jp/jp/JVN37288228/index.html
URL:https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000100.html
2018/09/28