セキュリティの
学び場

今回の解説ニュース

楽天のアプリの脆弱性が発見されています。ご利用中の方は最新版へアップデートを検討してください。発見された脆弱性の内容と、アプリの利用者ができる対策について説明します。今回の脆弱性は、楽天市場のスマートフォンアプリにアクセス制限不備の脆弱性が存在するというものです。

影響を受けるシステムは、Android版「楽天市場アプリ」 12.4.0およびそれ以前のバージョンと、iOS版「楽天市場アプリ」 11.7.0およびそれ以前のバージョンです。影響として、攻撃者の作成した任意のアプリからリクエストを受け取り指定されたURLへアクセスを実行してしまう可能性があるということです。

対策として、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけられています。深刻度を表すCVSSv3の基本値は3.1で、4番目に高い「注意」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-41918」で検索してみてください。

発見された脆弱性の内容

アクセス制限不備の脆弱性によって、フィッシング詐欺などの被害を受ける可能性があります。

まず、スマートフォンアプリで発生するアクセス制限不備の脆弱性とは、Custom URL Schemeの不備によって発生するものです。Custom URL Schemeとは、特定のアプリを起動したり、アプリ内で特定の処理を実行するために、アプリごとに独自に定義されたURLスキームのことです。

例えば、ブラウザに入力するURLは「https」で始まることが多くなりますが、Custom URL Schemeの場合は、httpsの代わりに任意の文字列で表されます。このスキームをブラウザのアドレスバーに入力したり、他のアプリから呼び出すことで、指定したアプリの特定の機能を呼び出すことができます。

アクセス制限不備の脆弱性があると、このCustom URL Schemeに対して、誰でも自由にアクセスし、任意の処理を実行できてしまう可能性があります。本来、特定のアプリからしか呼び出せないはずの機能が、外部の攻撃者からも呼び出せてしまうため、様々な悪用ができる場合があります。具体的には、メールの本文などから特定のアプリのCustom URL Schemeを呼び出すリンクをクリックさせ、偽のログイン画面を表示させる悪意のあるWebサイトをアプリ内で表示させることで、フィッシング詐欺などのサイバー攻撃に利用される可能性があります。

アプリの利用者ができる対策

利用者側ができる対策として、最新版へアップデートする以外に、不審なメールやSMSに記載されたリンクをクリックしないことが挙げられます。

アプリの利用者が、開発元によるアップデートを適用する以外に、自身でできるセキュリティ対策は、残念ながら限られています。しかし、不審なメールやSMSに記載されたリンクをクリックしないことで、リスクをある程度軽減することができます。

先ほど説明した通り、Custom URL Schemeはブラウザで入力するURLを独自にカスタマイズしたものです。よって、それぞれの構造としては似ているため、利用者側でできる対策も同様となります。ブラウザに入力されるURLは直接入力すること以外に、リンクをクリックすることで特定のURLにアクセスすることになります。そのリンクが、悪意のあるWebサイトへのものであると、フィッシング詐欺だけでなく、マルウェア感染や情報漏洩につながる可能性があります。

Custom URL Schemeの場合、直接URLを入力することはありませんので、不審なリンクをクリックしないことが重要です。特に、アプリの場合は今アクセスしているURLを確認することができない場合が多いので、メールやSMSに書かれたリンクをクリックした際に、アプリが立ち上がって、見覚えのない画面になった場合は十分に注意してください。