独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月11日、スマートフォンアプリ「くら寿司 公式アプリ」における証明書検証不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。SAK University 株式会社エスアイイーの小川剛氏が報告を行っている。影響を受けるシステムは以下の通り。
Androidアプリ「くら寿司 公式アプリ」バージョン 2.0.11から3.9.10まで
iOSアプリ「くら寿司 公式アプリ」バージョン 2.0.11から3.9.10まで
株式会社EPGが提供するスマートフォンアプリ「くら寿司 公式アプリ」には、プッシュ通知に関する通信における証明書検証不備の脆弱性(CVE-2026-41872)が存在し、無線LANのアクセスポイントを設置した第三者によって、中間者攻撃(man-in-the-middle attack)が行われた場合、プッシュ通知に関する通信内容の盗聴や改ざんが行なわれる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、下記のバージョンで本件の対策が行われており、本件の影響を受けるバージョンを使用している場合、起動時に即時アップデートが強制される。
Androidアプリ「くら寿司 公式アプリ」 3.9.11
iOSアプリ「くら寿司 公式アプリ」 3.9.11
