無料Wi-Fi検索アプリ「Japan Connected-free Wi-Fi」に脆弱性、最新版へのアップデートで対策を

「Japan Connected-free Wi-Fi」のロゴ

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は11日、訪日外国人向けの無料Wi-Fi検索アプリ「Japan Connected-free Wi-Fi」のアプリ（iOS/Android）に脆弱性が発見されたことを発表した。対策が施された最新版アプリへアップデートするよう、注意を呼び掛けている。

　今回の情報は、IPAへの届出をもとに、JPCERT/CCと製品開発者であるNTTブロードバンドプラットフォーム株式会社（NTTBP）の事前調整を経て、脆弱性情報サイト「JVN（Japan Vulnerability Notes）」で公開された。

　Japan Connected-free Wi-Fiは、各地の自治体や企業がそれぞれ独自に展開している無料公衆無線LANサービスを一括検索できるアプリ。訪日外国人向けとされているが、実際には日本在住者でもアプリをダウンロードしたり、ユーザー登録することが可能。

　脆弱性は全部で2つ。まず、URLスキームを使って起動することで、任意のページを表示させることが可能になる問題があった。これにより、任意のAPIが実行される恐れがある。

　また、SSIDの表示に起因する、スクリプトインジェクションの脆弱性も存在した。特殊なSSIDが設定されたアクセスポイントに接続すると、アプリ上で任意のスクリプトが実行される可能性がある。

　この2つの脆弱性は、iOSアプリのバージョン1.0.2およびそれ以前、Androidアプリのバージョン1.6.0およびそれ以前に存在するが、すでに公開済みの最新版へアップデートすることで対策できる。