概要
くら寿司 公式アプリにおいて、プッシュ通知に関する通信でサーバー証明書の検証が適切に行われない脆弱性が発見されました。
攻撃者が無線LANアクセスポイントを設置し、中間者攻撃(MITM)を行うことで、アプリとサーバー間のプッシュ通知通信を傍受・改ざんできる可能性があります。ユーザーが攻撃者の管理する無線LANに接続した場合に影響を受けます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.4(High) |
| CWE | CWE-295(不適切な証明書検証) |
| 攻撃元区分 | 隣接ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| くら寿司 公式アプリ | 株式会社EPG | 脆弱性修正前のバージョン |
修正バージョンと回避策
- 修正バージョン: App Store / Google Play から最新バージョンへアップデート
- 暫定回避策: 信頼できない公衆無線LANへの接続を避ける。VPNの使用を検討する
関連リンク
データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。