金融機関向けポータルアプリ「MyPallete」のAndroid版に脆弱性、通信内容を盗聴されたり改ざんされる恐れ

　株式会社NTTデータは、金融機関向けポータルアプリ「MyPallete」のAndroid版に脆弱性が存在することを明らかにした。iOS版ではこの脆弱性の影響を受けない。

　MyPalleteは、残高照会、入出金明細、料金支払いなどの金融機関取引が可能なアプリ。複数の金融機関において、顧客向けに提供するアプリとして採用されている。

　Android版には、SSLサーバー証明書の検証不備および証明書検証におけるホスト名検証不備の脆弱性が存在する。悪意を持って設置されたWi-Fiアクセスポイントなどの信頼できないネットワークを介して同アプリを利用した場合、中間者攻撃によって通信内容の盗聴や改ざんが行われる恐れがある。CVSS v3による脆弱性の深刻度評価は4.8（警告）。

　なお、パスワード、暗証番号などの認証情報はこの脆弱性による影響を受けないとしている。

　また、NTTデータでは、My Palleteを使用して作成された以下のアプリのAndroid版を最新版にアップデートするよう呼び掛けている。

• 「あしぎんアプリ」バージョン1.0.4以前
• 「池田泉州銀行バンキングアプリ」バージョン3.0.4以前
• 「四国銀行アプリ」バージョン2.0.1以前
• 「とうぎんアプリ」バージョン1.0.1以前
• 「ながぎんアプリ」バージョン1.0.1以前
• 「七十七銀行アプリ」バージョン2.0.1以前
• 「どうぎんアプリ」バージョン3.0.1以前
• 「北陸銀行ポータルアプリ」バージョン2.0.1以前