OfferBoxアプリにJWTの秘密鍵がハードコードされている脆弱性が発覚、開発者は最新版のリリースで対処

text: XEXEQ編集部

OfferBoxアプリにハードコードされた秘密鍵による脆弱性が判明

株式会社i-plugが提供するスマートフォンアプリ「OfferBox」にJWTの秘密鍵がハードコードされていた問題が発覚
脆弱性の影響を受けるのはAndroidアプリ2.0.0から2.3.17、iOSアプリ2.1.7から2.6.14
当該秘密鍵は2024年5月8日に開発者によって無効化され、対策前のバージョンでも影響は受けない
開発者は秘密鍵を内包しない次のバージョンAndroid 3.0.0とiOS 3.0.0をリリース済み

OfferBoxアプリの不正アクセス問題

2024年5月10日、株式会社i-plugが提供するスマートフォンアプリ「OfferBox」において、アプリ内にJWTの秘密鍵がハードコードされているという脆弱性が発見された。この脆弱性は「CWE-321」として識別され、アプリ内のデータを解析された場合に秘密鍵が窃取される可能性がある。^[1]

影響を受けるバージョンはAndroidアプリ2.0.0から2.3.17、iOSアプリ2.1.7から2.6.14だ。ただし、当該秘密鍵は2024年5月8日に開発者によって無効化されたため、対策前のバージョンを使用していても本脆弱性の影響は受けないとのことだ。

開発者は既に秘密鍵を内包しない次のバージョンをリリースしている。具体的にはAndroidアプリ3.0.0、iOSアプリ3.0.0で、ユーザーは自発的に最新版へのアップデートを行うことが推奨される。

考察

今回のOfferBoxアプリの脆弱性問題は、ソフトウェア開発におけるセキュリティ意識の欠如を浮き彫りにしたと言えるだろう。機密情報をソースコード内にハードコードすることは極めて危険な行為であり、アプリの配布後も秘密鍵を無効化できたことは不幸中の幸いだったと言える。しかし、もし悪意のある第三者に秘密鍵が悪用されていたら、ユーザーの個人情報が大量に流出するなど、甚大な被害につながっていた可能性は十分にある。

モバイルアプリの開発現場では、利便性や開発スピードを優先するあまりセキュリティ対策が軽視されがちだが、今回の事例を教訓として、開発者一人一人がセキュアコーディングの重要性を再認識する必要がある。脆弱性の芽を摘むには、設計段階からセキュリティを意識し、機密情報の適切な管理手法を徹底することが欠かせない。加えて、リリース前の十分なテストと監査、脆弱性発見後の迅速な対処など、組織的なセキュリティ体制の整備も急務だ。アプリを通じて多くの個人情報を扱う企業には、ユーザーの信頼に応える高い倫理観とセキュリティ意識が問われている。