セキュリティ

SECURITY

公開：2024-09-10

@cosmeアプリの脆弱性発覚、フィッシング被害の危険性が浮き彫りに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• @cosmeアプリにアクセス制限不備の脆弱性
• 任意のウェブサイトにアクセスさせられる可能性
• 最新版へのアップデートで対策可能

@cosmeアプリの脆弱性でフィッシング被害の危険性が増大

株式会社アイスタイルは2024年9月9日、同社が提供するスマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」にアクセス制限不備の脆弱性が存在すると発表した。この脆弱性は、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能に関連しており、任意のアプリからリクエストを受け取りアクセスを実行してしまう問題だ。^[1]

影響を受けるバージョンは、Androidアプリでは5.69.0より前のバージョン、iOSアプリでは6.74.0より前のバージョンとなっている。この脆弱性は、CWE-939に分類されるアクセス制限不備の脆弱性であり、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられる可能性がある。

この脆弱性によって、ユーザーはフィッシング等の被害にあう危険性が高まっている。対策としては、開発者が提供する情報をもとに最新版へアップデートすることが推奨される。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき株式会社ラックのPantuhong Sorasiri氏によってIPAに報告され、JPCERT/CCが開発者との調整を行った。

@cosmeアプリの脆弱性の詳細

Custom URL Schemeについて

Custom URL Schemeとは、アプリケーション固有のURLスキームを定義し、そのURLを介してアプリを起動したり特定の機能を呼び出したりする仕組みのことを指す。主な特徴として以下のような点が挙げられる。

• アプリケーション固有のURLプロトコルを定義可能
• ウェブページやほかのアプリからの呼び出しが可能
• アプリ内の特定機能や画面への直接アクセスを提供

@cosmeアプリの脆弱性では、このCustom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されていたが、適切なアクセス制限が設けられていなかったため、任意のアプリからリクエストを受け取りアクセスを実行してしまう問題が発生した。この脆弱性は、アプリケーションのセキュリティ設計において、外部からの入力に対する適切な検証と制御の重要性を再認識させる事例となっている。

@cosmeアプリの脆弱性に関する考察

@cosmeアプリの脆弱性対応は、ユーザーの個人情報保護とセキュリティ強化の観点から評価できる。しかし、こうした脆弱性が発見されたこと自体が、アプリケーション開発におけるセキュリティ設計の重要性を再認識させる契機となった。今後は、Custom URL Schemeの実装時における厳格なアクセス制御の必要性が、業界全体で共有されることが期待される。

一方で、この脆弱性対応によって、サードパーティアプリとの連携機能が制限される可能性も考えられる。ユーザビリティとセキュリティのバランスを取ることが、今後のアプリ開発における課題となるだろう。解決策としては、OAuth認証などの標準的なセキュリティプロトコルの導入や、ホワイトリスト方式によるアクセス制御の実装が考えられる。

今後、@cosmeアプリには、ユーザーの行動分析に基づいた個人化されたセキュリティ設定機能の追加が期待される。例えば、ユーザーが許可したアプリからのみURLスキームを介したアクセスを許可する機能や、アクセス履歴の可視化機能などが考えられる。こうした取り組みを通じて、ユーザーの信頼を回復し、より安全で使いやすいアプリケーションとしての地位を確立することが重要だ。

参考サイト

1. ^ JVN. 「JVN#81570776: スマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」におけるアクセス制限不備の脆弱性」. https://jvn.jp/jp/JVN81570776/index.html, (参照 24-09-10).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧