ニュース

三菱東京UFJ銀行アプリ、SSL v3.0の脆弱性「POODLE」を最新版で修正

 独立行政法人情報処理推進機構(IPA)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、株式会社三菱東京UFJ銀行が提供するAndroid向けオンラインバンキングアプリ「株式会社三菱東京UFJ銀行」に、SSL/TLSダウングレード攻撃が可能となる脆弱性が含まれることを発表した。

 影響を受けるのはバージョン「5.3.1」以前で、三菱東京UFJ銀行では、最新バージョンへのアップデートを推奨している。

 株式会社三菱東京UFJ銀行アプリは、サーバーとの通信時に「TLS v1.2」でのネゴシエーションを試みるが、サーバーからのレスポンスで「SSL v3.0」が指定されている場合、そのままSSL v3.0での通信を行う脆弱性(CVE-2016-7812)が存在する。

 これにより、POODLE攻撃などの影響を受ける可能性があり、無線LANのアクセスポイントを設置した第三者による中間者攻撃によって、暗号化された通信内容の一部が解読される可能性がある。共通脆弱性評価システムCVSS v3のスコアは3.7。