「Yahoo!ショッピング」「ヤフオク!」アプリに脆弱性、最新版に更新を

　独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、ヤフー株式会社が提供するスマートフォンアプリ「Yahoo!ショッピング」「ヤフオク!」に、それぞれSSLサーバー証明書の検証不備の脆弱性があることを公表した。ユーザーに対しては、最新バージョンへのアップデートを呼び掛けている。

　脆弱性の影響を受けるアプリは、「Yahoo!ショッピング」アプリのバージョン1.4以前（Android版のみ）と、「ヤフオク!」のバージョン4.3.0以前（iOS版およびAndroid版）。Yahoo!ショッピングのiOS版アプリはこの脆弱性の影響は受けない。

　両アプリとも、SSLサーバー証明書の検証に不備があり、不正なサーバー証明書であっても警告を出さずに接続してしまうことで、中間者攻撃による暗号通信の盗聴などが行われる可能性がある。

　ヤフーでは、両アプリとも脆弱性を修正したバージョンを公開しており、IPAセキュリティセンターとJPCERT/CCでは、最新バージョンへのアップデートを呼び掛けている。