「百五銀行」アプリに、通信データを盗聴される脆弱性

IT・デジタルセキュリティ

注目記事

2016.5.18（水）20:15

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は18日、スマートフォンアプリ「百五銀行」の脆弱性について、脆弱性対策情報ポータルサイト「JVN」で情報を公表した。

　それによると、スマートフォンアプリ「百五銀行」には、SSLサーバ証明書の検証不備の脆弱性が存在するという。この脆弱性を悪用されると、中間者攻撃（man-in-the-middle attack）により、データの“盗聴”などが行われる可能性があるとのこと。

　該当するのは、iOS版「百五銀行」1.1および1.0、Android版「百五銀行」1.0で、これらのバージョンを使用したサービスは終了し、現在アプリはバージョン2.0が提供されている。もし何らかの理由で旧バージョンが、いまだにスマートフォンに入っているというユーザーは、直ちに更新することが望ましい。

　IPAは2015年10月29日に届出を受け、JPCERT/CCが製品開発者と調整を行い、今回改めて公表したとのこと。ただし現在、百五銀行サイトなどには、本脆弱性に関する情報・告知などは掲載されていない模様だ。

《赤坂薫》