皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の4月と6月にこのブログでも取り上げた『＋メッセージ』ですが、ある脆弱性が見つかっていたようです。

（4月の記事：＋メッセージはSMSとは別もの）

（6月の記事：＋メッセージの使用には要注意）

＋メッセージにおける盗聴等の脆弱性

9月27日、IPA（独立行政法人情報処理推進機構）とJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）から『＋メッセージ』に関する脆弱性情報が公開されました。

＜概要＞

スマートフォンアプリ「＋メッセージ（プラスメッセージ）」には、SSL サーバ証明書の検証不備の脆弱性が存在します。

想定される影響

中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。

＜影響を受けるシステム＞

【NTTドコモ】
・Android アプリ「＋メッセージ（プラスメッセージ）」 42.40.2800 より前のバージョン
・iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

【KDDI（au）】
・Android アプリ「＋メッセージ（プラスメッセージ）」 1.0.6 より前のバージョン
・iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

【SoftBank】
・Android アプリ「＋メッセージ（プラスメッセージ）」 10.1.7 より前のバージョン
・iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

＜対策方法＞

最新版へのアップデート

ちなみに、この脆弱性の報告者は『LINE株式会社』の方であったそうです。