セキュリティ

SECURITY

公開：2024-10-13

@cosmeアプリにアクセス制限不備の脆弱性、フィッシング被害の可能性も

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• @cosmeアプリにアクセス制限不備の脆弱性
• 任意のアプリからリクエストを受け取り実行
• フィッシング被害の可能性あり

@cosmeアプリの脆弱性発見とセキュリティリスク

株式会社アイスタイルが提供するスマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」において、Custom URL Schemeを使用したリクエストURLへのアクセス機能に脆弱性が発見された。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性（CWE-939）が存在することが判明した。^[1]

この脆弱性は情報セキュリティ早期警戒パートナーシップに基づき、株式会社ラックのPantuhong Sorasiri氏によってIPAに報告され、JPCERT/CCが開発者との調整を行った。CVSS v3による深刻度基本値は3.3（注意）とされており、攻撃元区分はローカル、攻撃条件の複雑さは低いと評価されている。

影響を受けるシステムは、Androidアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」の5.69.0より前のバージョン、およびiOSアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」の6.74.0より前のバージョンである。この脆弱性により、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられる可能性がある。

@cosmeアプリの脆弱性詳細

Custom URL Schemeについて

Custom URL Schemeとは、アプリケーション固有のURLスキームを定義し、そのURLを介してアプリケーションを起動したり特定の機能を呼び出したりする仕組みのことを指す。主な特徴として以下のような点が挙げられる。

• アプリケーション間の連携を可能にする
• ウェブページからアプリを直接起動できる
• アプリ固有の機能やデータにアクセスできる

@cosmeアプリの脆弱性は、このCustom URL Schemeの実装に問題があったことが原因である。適切なアクセス制限が行われていなかったため、任意のアプリからのリクエストを受け付けてしまい、潜在的なセキュリティリスクを生み出した。この事例は、Custom URL Schemeを実装する際の適切なセキュリティ対策の重要性を示している。

@cosmeアプリの脆弱性に関する考察

@cosmeアプリの脆弱性発見は、モバイルアプリケーションのセキュリティ対策の重要性を再認識させる事例となった。Custom URL Schemeの実装は、アプリケーション間の連携や機能の拡張性を高める一方で、適切な制御がなされていない場合にセキュリティホールとなる危険性がある。今回の事例を通じて、開発者はCustom URL Schemeの実装時におけるセキュリティチェックの徹底と、定期的な脆弱性診断の必要性を再認識すべきだろう。

今後、同様の脆弱性を防ぐためには、アプリケーション間の通信に関するセキュリティガイドラインの策定と遵守が重要になる。具体的には、Custom URL Schemeを使用する際の適切なアクセス制御の実装、外部からのリクエストに対する厳密な検証プロセスの導入、そして定期的なセキュリティ監査の実施などが考えられる。また、開発者コミュニティ内でのセキュリティベストプラクティスの共有も、類似の脆弱性の予防に寄与するだろう。

モバイルアプリケーションの普及と共に、ユーザーの個人情報や行動データの保護がより重要になってきている。@cosmeアプリのような人気アプリケーションにおける脆弱性の発見と迅速な対応は、ユーザーの信頼維持に直結する。今後は、セキュリティ対策を開発プロセスの初期段階から組み込む「セキュリティ・バイ・デザイン」の考え方を採用し、より強固なアプリケーション開発を目指すことが期待される。

参考サイト

1. ^ . 「JVNDB-2024-000094 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000094.html, (参照 24-10-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧