情報処理推進機構(IPA)とJPCERTコーディネーションセンターは1月18日、iOSアプリの「ショッぷらっと」にSSLサーバー証明書の検証不備の脆弱性があるとして、注意喚起を行った。

ショッぷらっとはNTTドコモが提供するアプリで、小売店に利用者が来店した時に"来店ポイント"を付与する。来店判断は、チェックイン・ソリューション「Air Stamp」の音波を、スマートフォンのマイクで拾うことで行われており、山手線での採用例がある。

この脆弱性は、不正なSSLサーバ証明書を使用しているサーバであっても、警告を出さずに接続してしまうため、中間者攻撃などにより、ユーザーが気付かない状態で悪意ある第三者に通信内容を傍受される可能性がある。

対象となるバージョンは「v1.10.00」から「v1.18.00」で、すでに提供されている最新バージョンにアップデートするよう推奨されている。