ニュース

JR東日本のAndroid版列車運行情報アプリに脆弱性、ユーザー情報の取得・改ざんのおそれ

3月にサービ終了済みのアプリ、既存ユーザーは使用停止を

 Android版「JR東日本 列車運行情報 プッシュ通知アプリ」に脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する、「Japan Vulnerability Notes(JVN)」が情報を公開した。

 同アプリは、JR東日本管内の在来線および新幹線の運転見合わせや遅れなどの運行情報をプッシュ通知で知らせるアプリだが、3月23日に公開およびサポートを終了した。

「JR東日本 列車運行情報 プッシュ通知アプリ」は3月23日にサービスを終了している

 同アプリが使用するAPIサーバーにアクセス制限不備の脆弱性が存在しており、第三者からユーザーの登録情報を取得されたり、改ざんされる可能性がある。CVE番号は「CVE-2019-5954」で、共通脆弱性評価システムCVSS v3のスコアは6.5。影響を受けるアプリのバージョンは1.2.4以前。

 同アプリの既存ユーザーは、使用停止あるいはアンインストールするなどして対策を取る必要がある。

 なお、代替サービスとしてAndroid/iOS版の「JR東日本アプリ」や、LINEの「JR東日本 Chat Bot」などがある。