JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月28日、「JVN#01073312: スマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題」において、AndroidおよびiOSアプリの「ピッコマ」に脆弱性が存在したと伝えた。この脆弱性はユーザーに影響せず、すでに悪用できないよう対策されている。

  • JVN#01073312: スマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題

    JVN#01073312: スマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-38480 - 外部サービスのアプリケーション・プログラミング・インタフェース(API: Application Programming Interface)キーをハードコードしている脆弱性

脆弱性が存在した製品

脆弱性が存在した製品およびバージョンは次のとおり。

  • Android版 「ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ」 6.20.0より前のバージョン
  • iOS版 「ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ」 6.20.0より前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Android版 「ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ」 6.20.0
  • iOS版 「ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ」 6.20.0

この脆弱性はユーザーに直接影響しない。しかしながら、JPCERT/CCは開発者が提供する情報をもとに、最新版へアップデートすることを推奨している。修正版ではAPIキーがアプリ内から削除されているほか、既存のAPIキーは無効化されているため、この脆弱性の影響を受けるバージョンのアプリに含まれる情報を悪用することはできない。

当初、脆弱性が存在した製品およびバージョンとして、「Androidアプリ『ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ』6.20.0およびこれ以前のバージョン」および「iOSアプリ『ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ』6.20.0およびこれ以前のバージョン」とお伝えしておりました。正しくは、「Androidアプリ『ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ』6.20.0より前のバージョン」および「iOSアプリ『ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ』6.20.0より前のバージョン」となります。
脆弱性が修正された正しいバージョンは、「Android版 『ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ』 6.20.0」および「 iOS版 『ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ』 6.20.0」となります。
この度は、読者ならびに関係者の方にご迷惑をおかけいたしましたことを深くお詫び申し上げます。