JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月19日、「JVNVU#91696361: LINE client for iOSにおけるサーバー証明書の検証不備の脆弱性」において、LINEヤフーの「LINE Client for iOS」の「金融モジュール」に、ログを送信する際にTLS証明書の検証を行わない脆弱性が存在するとして、注意を喚起した。こ脆弱性を悪用されると、中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者に通信データを窃取される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2023-5554 - ログ送信時にTLS証明書の検証を行わない脆弱性
脆弱性が存在する製品
脆弱性の存在する製品およびバージョンは次のとおり。
- LINE Client for iOS 13.12.0およびこれ以降から13.16.0より前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- LINE Client for iOS 13.16.0
LINEヤフーはこの脆弱性の深刻度を警告(Warning)と評価しているが、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は緊急(Critical)と評価しており注意が必要。JPCERT/CCは、開発者が提供する情報にもとづいて最新版にアップデートすることを推奨している。