IPA(情報処理推進機構)セキュリティセンターとJPCERT/CC(JPCERTコーディネーションセンター)は2012年12月20日、ノルウェーOpera SoftwareがAndroid向けに無償で提供しているWebブラウザーアプリ「Opera Mini ウェブブラウザ」および「Opera Mobile ウェブブラウザ」に深刻な脆弱性が見つかったことを公表し、利用者に注意を呼びかけた。
今回見つかった脆弱性は、ユーザーのAndroidスマートフォンにインストールされている別のアプリ(不正アプリ)から、「ブラウザー上で任意のスクリプトを実行される」危険があるというもの。その結果、不正アプリによって指定されたWebサイトの「Cookie」(クッキー)情報を盗まれるなどの被害に遭う可能性があるという。
具体的に、同脆弱性の対象となるのは、「Opera Mini ウェブブラウザの7.5より前のバージョン」と「Opera Mobile ウェブブラウザの12.1より前のバージョン」となっている。どちらもGoogle Playで公開されている最新バージョンにアップデートすることで対処できる。
最悪の場合は個人情報漏洩や通信乗っ取りなどの被害も
Cookie情報を盗まれると、最悪の場合、ユーザーの個人情報(常識的にはそのものではなく間接情報のケースが多い)が漏洩したり、HTTPセッションが乗っ取られて(セッションハイジャック)不正アクセスや電子掲示板への嘘の書き込みを実行されたりといった深刻なトラブルに巻き込まれるケースが考えられる(Cookieについて深く知りたい人は関連記事を参照)。
ただし、上記のような攻撃が成功するためには、前段階としてまず「ユーザー自身がAndroidスマートフォンに不正アプリをインストールする」という手順を踏まなければならないため、「Opera MiniやOpera Mobileをインストールしているだけで即危険」ということにはならない。
実際に、IPAとJPCERT/CCが共同で運営する脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)でも、リモートから実行が可能である点や匿名で攻撃可能であるという点では危険度は高い(4段階中最も危険な「高」)としながらも、攻撃成立に必要なユーザーの関与度合いに関しては「設定の変更など、積極的なユーザー動作が必要である」として危険度は低い(3段階中最も危険度が低い「低」)と見積もっている。
とはいえ、ユーザーが自分でインストールするアプリの素性や動作について常にしっかりと理解しているとは限らず、巧妙な誘い文句にだまされてついうっかり不正アプリをインストールしてしまっているようなケースも十分考えられる。「自分は大丈夫」などと思わず対策しておいた方がよい。
なお、同脆弱性は、三井物産セキュアディレクションの望月岳氏によって発見されたもので、2012年8月3日にIPAに届け出を受け付け、JPCERT/CCが製品開発者と調整を実施した後、本日の情報公開に至ったという。
