JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月19日、「JVNVU#91696361: LINE client for iOSにおけるサーバー証明書の検証不備の脆弱性」において、LINEヤフーの「LINE Client for iOS」の「金融モジュール」に、ログを送信する際にTLS証明書の検証を行わない脆弱性が存在するとして、注意を喚起した。こ脆弱性を悪用されると、中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者に通信データを窃取される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

CVE-2023-5554 - LY Corporation

脆弱性の情報(CVE)は次のとおり。

CVE-2023-5554 - ログ送信時にTLS証明書の検証を行わない脆弱性

○脆弱性が存在する製品

脆弱性の存在する製品およびバージョンは次のとおり。

LINE Client for iOS 13.12.0およびこれ以降から13.16.0より前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

LINE Client for iOS 13.16.0

LINEヤフーはこの脆弱性の深刻度を警告(Warning)と評価しているが、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は緊急(Critical)と評価しており注意が必要。JPCERT/CCは、開発者が提供する情報にもとづいて最新版にアップデートすることを推奨している。
(後藤大地)

画像提供:マイナビニュース