一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営しているJVNで、NTTドコモ、au(KDDI)、ソフトバンクが提供し、携帯電話番号だけでメッセージのやりとりができる「+メッセージ」アプリに、Unicode制御文字の扱いに関する脆弱性があるとし注意喚起を促した。共通脆弱性識別子はCVE-2022-43543。
+メッセージアプリは、Unicode制御文字の仕様に基づき無加工で表示をしているが、意図的にURLを含むテキスト情報に細工することで、実際のリンク先を誤解させるような形にできる(つまり偽装できる)という。このためフィッシング詐欺などに使用される可能性がある。
影響を受けるのは以下の通り。
ソフトバンク
・Android アプリ「+メッセージ(プラスメッセージ)」12.9.5 より前のバージョン
・iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
株式会社NTTドコモ
・Android アプリ「+メッセージ(プラスメッセージ)」54.49.0500 より前のバージョン
・iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
KDDI株式会社
・Android アプリ「+メッセージ(プラスメッセージ)」3.9.2 より前のバージョン
・iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
各社は既に対策版を用意しており、手順に従って更新することを推奨する。
12月に+メッセージの利用者は3,000万人を突破した。
コメント