ホーム > ニュース > Android版「マネーフォワード」及び金融機関向け「マネーフォワード」の脆弱性と修正完了に関するお知らせ

Android版「マネーフォワード」及び金融機関向け「マネーフォワード」の脆弱性と修正完了に関するお知らせ

このエントリーをはてなブックマークに追加

いつも当社サービスをご利用いただき、ありがとうございます。Android版「マネーフォワード」、金融機関向け「マネーフォワード」の一部の利用状況における脆弱性に関して、2016年6月28日及び2016年7月21日にJPCERTコーディネーションセンター(以下「JPCERT/CC」)より報告があり、該当部分の修正が完了しましたのでお知らせ致します。

■概要
今回JPCERT/CCより報告をうけたのは、Android版「マネーフォワード」及び金融機関向け「マネーフォワード」における、「WebView クラスに関する脆弱性」「任意の操作が実⾏可能な脆弱性」に関する内容です。

具体的には、利用者のAndroid端末に悪意のあるアプリがインストールされている場合、利用者が意図しない任意の処理が実行される可能性についてとなります。なお、この脆弱性による被害は現在のところ報告を受けておりません。

■対象サービス及びバージョン
「マネーフォワード」7.18.0 より前のバージョン
以下、金融機関向け「マネーフォワード」 ※五十音順
「マネーフォワード for 群馬銀行」1.2.0 より前のバージョン
「マネーフォワード for 滋賀銀行」1.2.0 より前のバージョン
「マネーフォワード for 静岡銀行」 1.4.0 より前のバージョン
「マネーフォワード for 住信SBIネット銀行」1.6.0 より前のバージョン
「マネーフォワード for 東海東京証券」1.4.0 より前のバージョン
「マネーフォワード for 東邦銀行」1.3.0 より前のバージョン
「マネーフォワード for YMFG」1.5.0 より前のバージョン

■対応内容と経緯の詳細
2016年6月28日…JPCERT/CCより報告を受け、影響範囲を確認。
2016年6月29日…報告を受けた内容についての修正対応を実施。
2016年6月30日…Google Play にて、Android版「マネーフォワード」及び金融機関向け「マネーフォワード」の修正版の公開を完了後、利用者に向けたアップデートのお知らせを掲載。
2016年7月21日…JPCERT/CCより、別の手段による「任意の操作が実⾏可能な脆弱性」の追加報告を受け、再度影響範囲を確認。
2016年7月27日…影響範囲の特定後、追加修正対応を実施。
2016年8月04日…Google Play にて、Android版「マネーフォワード」及び金融機関向け「マネーフォワード」の修正版の公開を完了。
2016年8月05日…利用者に向けたアップデートのお知らせを掲載。
2016年9月20日…他、関連するアプリケーション含め全て対応が完了。

■利用者の皆様へのお願い
今回報告を受けた不具合については既に修正が完了し、Google Playで各種修正版を公開済みです。新しいバージョンへのアップデートを実施いただきますようお願いいたします。

ヘルプ > アプリ関連 > iOS/Android アプリのアップデート方法

尚、本件に関するご質問、お問い合わせは以下窓口までお願いいたします。
・利用者の方  feedback@moneyforward.com
・メディアの方  pr@moneyforward.co.jp

このたび、JPCERT/CC様および株式会社スプラウトの皆様(末房建太様、小西明紀様、塩見友規様)にご指摘いただいたことで、当社アプリケーションにおける不具合を早期に修正することができました。この場を借りて御礼申し上げます。

当社では、これまでもセキュリティ部分への設計、運用、対応については厳格に行っておりましたが、引き続き、より一層のセキュリティを強化したサービスの開発、運用を進めてまいります。

■関連情報
Japan Vulnerability Notes(以下「JVN」)の開示情報は下記をご確認ください。

JVN #49343562
https://jvn.jp/jp/JVN49343562/ (日本語)
https://jvn.jp/en/jp/JVN49343562/ (英語)

JVN #61297210
https://jvn.jp/jp/JVN61297210/ (日本語)
https://jvn.jp/en/jp/JVN61297210/ (英語)