セキュリティの
学び場

今回の解説ニュース

メルカリのAndroidアプリに脆弱性が発見されています。ご利用中の方は最新版へのアップデートを検討してください。発見された脆弱性の内容と、どのような被害が発生するかについて説明します。

今回の脆弱性は、Android アプリにアクセス制限不備の脆弱性が存在するというものです。影響を受けるのは、Android アプリ「メルカリ」のバージョン5.78.0より前のバージョンです。影響として、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性があるということです。

深刻度を表すCVSSv3の基本値は3.3で、4番目に高い「注意」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-23388」で検索してみてください。

アクセス制限不備の脆弱性とは

Androidアプリにおけるアクセス制限不備の脆弱性は、アプリが意図せず外部からのアクセスを許可してしまう脆弱性です。攻撃者がこの脆弱性を悪用すると、アプリの不正な操作などが可能になり、利用者の個人情報や機密情報へのアクセスなど、深刻な被害に繋がる可能性があります。

例えば、みなさんがVoicyのAndroidアプリをインストールしたとします。セキュラジを視聴するためには、VoicyのWebサイトにアクセスして、音声コンテンツが再生できればいいことになります。しかし、何ら制限をかけていない場合は、Voicyのアプリで別のWebサイトへアクセスできてしてしまう可能性があります。もちろん、あくまでも例え話で、Voicyのアプリに脆弱性が発見されたわけではありません。

どのような被害が発生するか

今回の脆弱性が悪用されると、任意のWebサイトにアクセスさせられるため、フィッシングサイトなどへ誘導された場合、個人情報が漏洩する可能性があります。実際に脆弱性が悪用される事例を挙げて説明します。

まず、攻撃者はSNSなどに貼ったリンクなどを経由して、脆弱性のあるAndroidアプリを立ち上げようとします。本来は、アプリで表示されるWebサイトは制限される必要がありますが、その制限がなされていないのがアクセス制限不備の脆弱性であることは、先ほど説明させていただきました。

そして、任意のWebサイトを表示させることができるため、アプリのログイン画面を模倣したフィッシングサイトにも誘導できることになります。Androidアプリ内で表示されるWebサイトはURLを確認できないことがあるため、利用者がフィッシングサイトに気が付くことは、通常のブラウザでアクセスした場合より、難しいかもしれません。

利用者がアプリ内で開いたWebサイトを公式なものと誤認してしまった場合、IDとパスワードやクレジットカード情報など、個人情報や機密情報をAndroidアプリ内で表示されたフィッシングサイトへ入力してしまうことが考えられます。そして、入力した情報は攻撃者の手にわたり、悪用されてしまう可能性があるわけです。