ニュース

「niconico」のiOS版アプリに脆弱性、アップデートとログインパスワード変更を

 株式会社ドワンゴが提供する「niconico」のiOS版アプリに見つかった脆弱性について、脆弱性情報サイト「JVN(Japan Vulnerability Notes)」が29日、情報を公開した。同アプリのバージョン「6.37」以前にはSSLサーバー証明書の検証不備の脆弱性があり、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行われる可能性があるとしている。

 ドワンゴでは9月17日時点で、この脆弱性への対策を施したバージョン「6.38」を公開済み。まだアップデートしていないユーザーに向けて、速やかにアップデートするよう呼び掛けている。

 ドワンゴによると、悪意のある第三者が特定のネットワーク上において通信内容の一部を読み取ることができるものだとしており、ログインに必要な情報を読み取られた場合、その第三者がなりすましログインをする危険性がある。具体的には、悪意を持って工作された無線LANに接続している場合にこの危険性があるとし、3G/4G/LTE回線や自宅・会社などの信頼できる管理者による無線LAN上では危険性はないという。

 ドワンゴでは、同アプリをアップデートした後、niconicoアカウントの「ログインパスワード」も変更するよう呼び掛けている。また、以前に同アプリを利用していたユーザーに対しては、アプリ利用の後にログインパスワードを変更していない場合は、同様にログインパスワードを変更するよう求めている。一方、同アプリを利用したことのないユーザーには、この危険性はないという。

 また、niconicoのAndroid版アプリについては、同様の危険性はないことを確認したとしている。

(永沢 茂)