スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題 | ScanNetSecurity
2024.07.20(土)

スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

IPAおよびJPCERT/CCは、カカオピッコマが提供するスマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月28日、株式会社カカオピッコマが提供するスマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。株式会社ブロードバンドセキュリティの坂井祥仁氏がIPAに報告を行った。

 影響を受けるシステムは以下の通り。

・Androidアプリ「ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ」6.20.0より前のバージョン
・iOSアプリ「ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ」6.20.0より前のバージョン

 これらのバージョンには、外部サービスのAPIキーがハードコードされている問題が存在する。この問題が悪用された場合、アプリ内のデータを解析され、外部サービスと連携するためのAPIキーが不正に窃取される可能性がある。

 なお、6.20.0以降のバージョンでこの問題は改善されている。

 この脆弱性によって、製品利用者が直接影響を受けることはないとしている。JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

 修正版ではAPIキーがアプリ内から削除されている。また既存のAPIキーはすでに無効化されているため、本脆弱性の影響を受けるバージョンのアプリに含まれる情報を悪用することはできないとしている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  2. 新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

    新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

  3. イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい

    イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい

  4. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  5. マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

    マクニカネットワークスが忘れない CrowdStrike 三つのエピソードPR

  6. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  7. JAXA への不正アクセスによる情報漏えい、未知のマルウェア使用で侵害の検知を困難に

    JAXA への不正アクセスによる情報漏えい、未知のマルウェア使用で侵害の検知を困難に

  8. 日本生命保険の元社員を威力業務妨害の容疑で逮捕

    日本生命保険の元社員を威力業務妨害の容疑で逮捕

  9. マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  10. 東京都教育委員会「Teams 事故再発防止委員会」設置

    東京都教育委員会「Teams 事故再発防止委員会」設置

ランキングをもっと見る