独立行政法人情報処理推進機構(IPA)は3月18日、Android向けメールアプリケーション「spモードメール」に関する3件の脆弱性/問題を発表した。

発表されたのは以下の3件。いずれもAndroid 4.0以降が対象。

  • spモードメールにおいてJavaメソッドが実行される脆弱性
  • spモードメールで作成中のメールへのアクセスに関する問題
  • spモードメールにおける受信メールの添付ファイルへのアクセスに関する問題

これらのうち、1件目の脆弱性に関しては、デコメ絵文字POPの処理に問題があり、spモードメールの権限で実行可能な任意のJavaメソッドが実行されるというもの。細工されたメールなどで攻撃を受ける可能性がある。深刻度は10段階の6.8とされ、「危険」「警告」「注意」の3段階において、「危険」一歩手間の「警告」に位置づけられている。

Javaメソッドが実行される可能性がある

なお、2件目、3件目は、深刻度2.6の注意レベル。不正な他のAndroidアプリケーションがインストールされている場合に被害を受ける可能性がある。

NTTドコモでは、1件目の脆弱性に関して、すでに対応プログラムを組み込んだアップデートを提供しており、IPAでは最新版にバージョンアップするよう呼びかけている。