3キャリア提供の「＋メッセージ」アプリ、サーバー通信に脆弱性

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は、3キャリアが提供しているアプリ「＋メッセージ」（プラスメッセージ）に、脆弱性があることを明らかにした。各社とも不具合を修正した最新版の提供を行っている。

　「＋メッセージ」アプリで明らかになったのは、SSLサーバー証明書の検証不備の脆弱性が存在するというもの。アプリがWebサーバーに対してSSL/TLS接続の要求を行った際、不正なSSLサーバー証明書が送信されても、警告を出さずに接続してしまうという。これにより、悪意のある第三者が無線LANのアクセスポイントを設置するなどして、中間者攻撃（man-in-the-middle attack）による暗号通信の盗聴などが行われる可能性があるとしている。

脆弱性の図説（JVN iPedia）

　脆弱性が発見されたアプリのバージョンは、iOS版（3キャリア共通）は「1.1.21」以前のバージョン。Android版は、NTTドコモが「42.40.2600」以前、KDDIが「1.0.3」以前、ソフトバンクが「10.1.1」以前のバージョン。

【訂正 2018年2018/10/03 11:24】
　初出時、記事末尾の脆弱性情報の報告に関する記載について、当該報告者から記載内容は誤りであると指摘があったため、該当部分を削除しました。脆弱性情報の詳細はJVNのWebページで参照できます。