三菱東京UFJ銀行Androidアプリに弱点があり、暗号化された通信内容の一部が解読される可能性があるとのこと。
対策はアプリを最新版へアップデートすることですが、しかし、この情報をユーザー全てがすばやく知って、対策を実行できるか疑問です。
三菱東京UFJ銀行アプリにSSL/TLSをダウングレードされる脆弱性(JVN) | ScanNetSecurity
http://scan.netsecurity.ne.jp/article/2016/12/07/39241.html
インターネットバンキングやショッピングはパソコンで実施するのが安心だと思います。
どうしても、スマホで実施したい場合は、 [アプリの自動更新]を以下を設定して下さい。
”Google Play ストア アプリ”の [設定]の [アプリの自動更新]で、
”常に自動更新する”という設定にする。
ただし、この場合、Wi-Fi以外でもアプリが自動更新され、データ通信量が発生します。詳しくは、以下で紹介します。
なお、脆弱性対策情報ポータルサイト(JVN)で公開されている銀行系のアプリの不具合は、三菱東京UFJ銀行含め、ここ半年で3件も発生しています。
公開日:2016/04/13 「東京スター銀行」のAndroid アプリ、iOS アプリの不具合
JVN#00272277: スマートフォンアプリ「東京スター銀行アプリ」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN00272277/
公開日:2016/05/18 「百五銀行」のAndroid アプリ、iOS アプリの不具合
JVN#11877654: スマートフォンアプリ「百五銀行」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN11877654/
公開日:2016/12/06 「三菱東京UFJ銀行」のAndroid アプリ
JVNVU#92900492: Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
http://jvn.jp/vu/JVNVU92900492/
■Androidアプリは自動更新されない場合があり、インターネットバンキングやショッピングは危険!!
実は、Androidアプリの自動更新が、うまく実行されない場合があります。
スマホのアプリ自動更新の初期設定が、「Wi-Fiに接続しているときだけ自動更新」となっている場合があります。
この場合だと、Wi-Fi接続しなければ、いつまで待っても自動更新されません。
スマホは便利な道具ですが、インターネットでインターネットバンキングやショッピングなどをするには、今の状態では、はなはだ危険です。というか利用しないほうが無難ですね。
■インターネットバンキングやショッピングはパソコンで実施するのが良い
パソコンであれば、ブラウザを使いインターネットバンキングをするので、ブラウザを常に最新版(通常は自動的に更新)にしておけば、このような問題は発生しません。
パソコンのブラウザなどのソフトでは、通常は初期設定で「ソフトの自動更新」になっています。
■スマホでインターネットバンキングなどをしたい場合は、アプリの自動更新の設定を確認してから
スマホでインターネットバンキングやショッピングをしたい場合は、”Google Play ストア アプリ”の” [設定]/ [アプリの自動更新]”で、”常に自動更新する”という設定にして、アプリが自動的に更新されるようにします。
■
■ Androidスマホのアプリの自動更新の設定
■
お勧めの設定は、”Google Play ストア アプリ”の” [設定]/ [アプリの自動更新]”で”常に自動更新する”に設定する方法です。
(注)ただし、Wi-Fi接続に加え、通常の携帯回線接続でも自動更新するので、データ通信量が発生します。
Android 搭載端末のアプリの更新は、①アプリの自動更新を許可しておく方法と、②個々に操作して更新する方法があります。 詳しくは以下を参照下さい。
ダウンロードしたアプリの更新 - Google Play ヘルプ
https://support.google.com/googleplay/answer/113412?hl=ja
アプリを常に更新することで最新の機能が利用できるようになり、アプリのセキュリティや安定性が向上します。
■アプリの自動更新を許可して更新する
モバイル端末のすべてのアプリに対し自動更新を設定する方法
1.Google Play ストア アプリを起動します。
2.左上のメニュー(三本の棒) をタップ。
3. [設定] をタップします。
4. [アプリの自動更新] をタップします。
5.次のいずれかの項目を選択します。
①常に自動更新する: Wi-Fi または携帯会社の回線を使用して常に更新
②Wi-Fiに接続しているときだけ自動更新する: Wi-Fi に接続している場合のみ更新
②に設定した場合には、必ず、定期的にWi-Fiを有効にして、アプリを最新版に更新しましょう。
■アプリを手動で更新する
モバイル端末の Google Play ストア アプリを使用してアプリを個々にまたは一括で更新する方法
1.Google Play ストア アプリ Play ストア を起動します。
2.左上のメニュー(三本の棒) をタップ。
3. [マイアプリ&ゲーム] をタップします。
4.適用できるアップデートがあるアプリが表示されます。
(注)”Wi-Fi接続のみ自動更新”の場合は、”Wi-Fi接続の待機中”のアプリもあります。
5.すべてのアプリを更新するには [すべて更新] をタップします。
個々のアプリを更新するには、更新したいアプリを探して [更新] をタップします。
■
■ 三菱東京UFJ銀行アプリの脆弱性(アプリの弱点) 2016年12月6日の情報
■
IPAおよびJPCERT/CCは、12月6日、株式会社三菱東京UFJ銀行が提供するAndroidアプリにSSL/TLSダウングレード攻撃が可能となる脆弱性(アプリの弱点)が存在すると発表しました。
この脆弱性により、暗号化された通信内容の一部が中間者攻撃によって解読される可能性があるとのことです。
脆弱性対策情報ポータルサイト(JVN)では、対策として、株式会社三菱東京UFJ銀行が提供する情報をもとに、最新版へアップデートしてくださいと呼びかけています。
Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性 | JVN
http://jvn.jp/vu/JVNVU92900492/
