目次

  1. ぐるなびアプリとは
  2. 見つかった脆弱性
  3. 対象のアプリのバージョン
  4. 脆弱性への対処法

 ぐるなびアプリとは、「感染症対策のあるお店」「個室席」など様々な検索ニーズに合わせた飲食店の検索や予約ができるスマホ向けのアプリです。

 ぐるなびアプリには、リクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスしてしまう、アクセス制限不備の脆弱性 (CWE-284) がありました。

 脆弱性とは、コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃するときの弱点となるもののことです。

 悪意する第三者がこの脆弱性を悪用すると、任意のウェブサイトにアクセスさせられる可能性があり、フィッシングなどにあう可能性があります。

 ぐるなび側から脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」に情報提供がありました。

 脆弱性が確認されているアプリのバージョンは次の通りです。

  • Android アプリ「ぐるなび」 ver.10.0.10 およびそれ以前
  • iOS アプリ「ぐるなび」 ver.11.1.2 およびそれ以前

 アプリをダウンロードできるストアで、この脆弱性に対応済みの最新バージョンに更新してください。