2024年12月16日、独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は、「少年ジャンプ+ 人気漫画が読める雑誌アプリ」のAndroid版におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表しました。※現在この脆弱性は解消済みです。

この事例は、アプリ利用者の安全性を脅かす可能性があったため、大きな注目を集めました。

脆弱性の内容とその影響


「少年ジャンプ+」のAndroidアプリには、Custom URL Schemeを利用してリクエストされたURLにアクセスする機能が実装されていました。しかし、この機能にアクセス制限の不備(CWE-939)が存在したため、次のようなリスクが発生する可能性がありました。
同社公式サイトより:https://shonenjumpplus.com/article/info20241216

想定されるリスク

  1. 脆弱性の性質
    アプリが外部からのリクエストを適切に制限できていないため、攻撃者がそれを悪用できる状況にある。
  2. フィッシング等のリスク
    攻撃者がユーザーを特定のウェブサイト(例: フィッシングサイト)に誘導できるため、個人情報や機密情報が盗まれる危険性がある。
  3. 被害の潜在性
    任意のウェブサイトにアクセスできることから、直接的な情報漏洩だけでなく、さらなる攻撃の足掛かりになる可能性がある。

開発者が行った対応とは?


この脆弱性については、開発者が迅速に対応し、以下のような対策を講じました。

修正バージョンのリリース

2024年3月28日にリリースされたバージョン4.0.0でこの脆弱性が修正されました。現在、この修正済みバージョンが全ユーザーに提供されています。

強制アップデートの実施

全てのユーザーに対して強制的にアップデートが適用されたため、脆弱性が存在する旧バージョンを使用しているユーザーはいません。この対応により、利用者は自発的に行動を起こす必要がありませんでした。

iOSアプリの影響

なお、「少年ジャンプ+」のiOSアプリにはこの脆弱性が存在しないことが確認されており、iOSユーザーは安心して利用することができます。


アプリ利用者として取るべき対策とは?

今回の事例を教訓に、アプリ利用者としてどのような対策を取るべきかを考えてみましょう。

  1. アプリを常に最新版に保つ
    アプリ開発者は、既知の脆弱性を修正したアップデートを定期的にリリースします。ユーザーは常にアプリを最新バージョンに保つことで、こうした脅威から自分を守ることができます。
  2. 不審なリンクに注意 外部から送られてきた不審なリンクや未知のソースのリクエストを安易にクリックしないよう心がけましょう。
  3. セキュリティ意識の向上
    サイバー攻撃の手口は年々巧妙化しています。フィッシングやマルウェアのリスクについて学び、最新の情報を追い続けることが重要です。
  4. 脆弱性情報のチェック
    JVNやIPAが提供する情報を定期的に確認することで、利用しているアプリに関するセキュリティ情報をいち早く入手できます。

まとめ


今回の「少年ジャンプ+」における脆弱性の発見と修正は、アプリ利用者が脆弱性リスクに直面したとき、迅速な対応がどれほど重要であるかを示す好例です。開発者の努力により脆弱性は解消されましたが、私たちユーザーも安全な利用環境を維持するための意識を高める必要があります。

常にアプリを最新版に保ち、信頼できる情報源からのセキュリティ情報を確認する習慣をつけることで、サイバー攻撃から身を守り、より安心してデジタルライフを楽しむことができるでしょう。