ニュース

NTTドコモのAndroid向け「spモードメール」、デコメ絵文字POP処理に脆弱性

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は18日、株式会社NTTドコモが提供するAndroid用メーラーアプリ「spモードメール」の脆弱性情報を、脆弱性情報サイト「JVN」で公開した。ユーザーは最新バージョンへアップデートするとともに、NTTドコモが提供する情報を確認するよう呼び掛けている。

 公表された脆弱性は、1)Javaメソッドが実行される脆弱性、2)作成中のメールへのアクセス制限に関する問題、3)受信したメールの添付ファイルへのアクセス制限に関する問題――の3件。

 1)は、デコメ絵文字POPの処理に問題があり、細工されたメールを開くことで、spモードメールの権限で実行可能な任意のJavaメソッドを実行される可能性があるというもの。Android 4.1以降向けのspモードメールでは、2013年9月11日に提供開始した「rev.6700」で修正済み。また、Android 4.0.X以前向けでは、2014年1月14日に提供開始した「rev.6400」で修正済みだとしている。

 2)、3)は、不正なAndroidアプリがインストールされている場合、作成中のメールの内容やspモードメールで受信したメールの添付ファイルを取得される可能性があるというものだが、これらの問題を修正するアップデートは提供されない。spモード初回起動時の利用許諾やアプリ連携インターフェイス利用時のポップアップ、ヘルプにおいて注意喚起文を表示し、他のアプリのインストール時に提供元の信頼性を確認することや、セキュリティアプリの併用といった対策をユーザーに勧めることで対処した。

永沢 茂