iOSの自動アップデート機能を利用していない場合は、 Experian – Free Credit ReportとmyFICO Mobileの最新アップデートを必ず入手してください。Verify.lyが発見したセキュリティ脆弱性により、攻撃者が古いバージョンのクライアントでユーザーのログイン認証情報を傍受できた可能性があります。両社に脆弱性を報告した後、セキュリティホールは適切に修正されたようです。
Experian — Free Credit ReportとmyFICO Mobileはどちらも、ユーザーに信用情報レポートと情報を提供する目的で開発された金融アプリケーションです。信用情報レポートを常に監視することで、なりすましや無効な信用スコアの低下を検知し、債務返済がスコアに及ぼす全体的な影響を把握するのに役立ちます。Apptopiaによると、過去180日間でExperianのアプリケーションは約27万回、myFICOのアプリケーションは約3万9千回ダウンロードされています。
Verify.lyの創設者であるウィル・ストラファック氏から1ヶ月前に連絡があり、Verify.lyが2つの大手金融アプリケーションに脆弱性を発見したと指摘されました。ExperianとmyFICOのアプリケーションは、サービスへの接続時に適切な認証方法を使用していなかったため、攻撃者にユーザーのログイン情報を傍受される可能性がありました。しかし、最新のアップデートでは、Experian – Free Credit ReportとmyFICO Mobileの両方がアップデートされ、これらの明らかなセキュリティホールが修正されています。
詳細に調査すると、両方のアプリケーションともTLS実装が不完全でした。インターネット経由でサービスと通信する際にデータの暗号化を保証するセキュリティプロトコルであるTLSが、アプリケーション内で正しく実装されていませんでした。適切に構成された環境であれば、TLS実装により、ユーザーのログイン認証情報とデータはインターネット経由で暗号化され、安全に送信されるため、悪意のある攻撃者による読み取りは不可能になります。
TLSプロトコルには、クライアント(この場合はiOSアプリケーション)がWebサービスから受信した証明書が有効であり、その所有者が適切であることを確認するという役割があります。ExperianとmyFICOのアプリケーションはいずれも証明書の有効性を確認しておらず、本来受け入れるべきではない無効な証明書を受け入れてしまう可能性がありました。これらの無効な証明書を受け入れたことで、ExperianとmyFICOのアプリケーションは脆弱性を生じさせ、悪意のあるネットワークに接続した際に攻撃者がユーザーの認証情報を取得できる状態に陥っていました。これら2つのアプリケーションは信用情報における不正行為を検出するために使用されているにもかかわらず、それ自体が不正行為に利用される可能性があるという、皮肉な状況が存在します。
Strafachから両アプリケーションの脆弱性に関する通知を受けた後、私はそれぞれのアプリケーションを個別にテストし、自身でも検証しました。自宅のプライベートネットワークでCharles Proxyを使用することで、両アプリケーションが無効な証明書を受け入れる可能性があることを確認できました。その際、アプリケーションに入力されたログイン認証情報は、テスト中に確認できました。
-
- エクスペリアンで公開されていたユーザーデータ – 無料信用レポート
-
- myFICO Mobileで公開されていたユーザーデータ
このような状況で問題となるのは、既に攻撃に対して脆弱な状態にあり、それに気づいていない可能性です。現実のシナリオでは、攻撃者はARPスプーフィングなどの高度な手法を用いてユーザーをデバイスに接続させ、ユーザーを自身のネットワークから強制的に接続させたり、「FREE AirPort Wi-Fi」のような魅力的なネットワーク名を使ったりします。そして、ユーザーがネットワークに接続すると、その認証情報が攻撃者に見えてしまいます。これらのネットワーク上のユーザーがアプリケーションにログインし始めると、認証情報は暗号化されずにネットワーク経由で送信され、攻撃者はユーザー名とパスワードを容易に把握できるようになります。このデータは、他のオンラインアカウントへのアクセスを試みるために、様々な方法で利用される可能性があります。
ウィル・ストラファック氏と私は、それぞれ独立してエクスペリアン社とmyFICO Mobileに連絡を取り、脆弱性を開示しました。ストラファック氏はエクスペリアン本社から、ITセキュリティチームは例外なく外部からの電話を受け付けないと告げられました。オペレーターとさらに話し合った後、ストラファック氏はそれ以上の対応はできないと伝えました。エクスペリアン社への私の返答は、やや一般的な内容で、「アプリケーションはリリース前に厳格なセキュリティテストを受けており、ユーザーデータの安全性を確保するために、リリースごとにセキュリティ対策を継続的に改善しています」というものでした。
Experianは情報セキュリティを非常に重視しています。当社のモバイルアプリケーションは、リリース前に厳格なセキュリティテストを実施しており、リリースごとにセキュリティ対策を継続的に改善することで、ユーザーデータの安全性を確保しています。TLSの問題に関しては、AppleとPayment Card Industry Security Standards Council(PCI SSC)が定めた期限よりもかなり前に、近い将来に古いバージョンを削除する予定です。
— エクスペリアンからの声明
myFICOチームに連絡したところ、彼らは状況に対して少し寛容な対応をしてくれました。ストラファッハ氏と私はそれぞれ個別にメールを送るように言われましたが、残念ながらメールサーバーからは以下の自動返信メッセージしか届きませんでした。「受信者のメールボックスがいっぱいのため、現在メッセージを受信できません。後ほどメッセージを再送信するか、受信者に直接ご連絡ください。」
本日現在、両アプリケーションの脆弱性は修正されています。Experian — Free Credit ReportとmyFICO MobileのアップデートはApp Storeからできるだけ早く入手し、iOSも最新のビルドにアップデートしてください。
以前のバージョンのアプリケーションをご利用の場合は、アカウントのパスワードと、同じユーザー認証情報を使用している他のアカウントのパスワードを変更することをお勧めします。セキュリティ強化のため、LastPassや1Passwordなどのパスワードマネージャーのご利用をご検討ください。
neround.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
