ニュース
「+メッセージ」、フィッシング詐欺誘導に使われる脆弱性
2022年12月21日 16:57
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営しているJVNで、NTTドコモ、au(KDDI)、ソフトバンクが提供し、携帯電話番号だけでメッセージのやりとりができる「+メッセージ」アプリに、Unicode制御文字の扱いに関する脆弱性があるとし注意喚起を促した。共通脆弱性識別子はCVE-2022-43543。
+メッセージアプリは、Unicode制御文字の仕様に基づき無加工で表示をしているが、意図的にURLを含むテキスト情報に細工することで、実際のリンク先を誤解させるような形にできる(つまり偽装できる)という。このためフィッシング詐欺などに使用される可能性がある。
影響を受けるのは以下の通り。
ソフトバンク
・Android アプリ「+メッセージ(プラスメッセージ)」12.9.5 より前のバージョン
・iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
株式会社NTTドコモ
・Android アプリ「+メッセージ(プラスメッセージ)」54.49.0500 より前のバージョン
・iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン