図●Android版Outlook.comで見つかった脆弱性の概要 IPAとJPCERT/CCが共同で運営する脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)から引用。
図●Android版Outlook.comで見つかった脆弱性の概要 IPAとJPCERT/CCが共同で運営する脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)から引用。
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は7月30日、メーラーやスケジュール管理機能などを備えたAndroid向けアプリ「Outlook.com」に脆弱性が見つかったことを公表し、ユーザーに注意を呼びかけた。

 発見された脆弱性は、SSLサーバー証明書の検証に関するもの。検証処理に不備があり、SSL/TLSで接続する先のWebサーバーから不正なSSLサーバー証明書が返ってきても、Outlook.comアプリが警告を出さずに接続してしまうという()。

 例えば、悪意のある第三者が罠となる無線LANアクセスポイントを設置して、攻撃用Webサーバーに強制的に誘導することなどにより、中間者(MITM、man-in-the-middle)攻撃が成立し、暗号通信の盗聴などの被害を受ける危険がある。

 脆弱性を持つのは「7.8.2.12.49.7090」より前のバージョン。該当するユーザーは、Google Play経由で最新バージョンにアップデートすることで、脆弱性をふさぐことが可能だ。攻撃成立のための前提条件が複雑なため、ユーザー全てが直ちに危険な状態に陥ることはないが、特に無料の公衆無線LANサービスをよく使うユーザーなどはリスクが高いので、早めにアップデートすることを勧める。