niconicoをご利用いただき、ありがとうございます。


iOS版「niconico」アプリにおきまして、「悪意のある第三者が、特定のネットワーク上において、通信内容の一部を読み取ることができる危険性」が発見されました。
概要と対策をお知らせいたします。

どのような危険性があるか
ログインに必要な情報を読み取られた場合、その第三者が「なりすまして」ログインをする危険性がございます。

現在、iOS版「niconico」アプリをご利用の方へ
2015/09/17(木)に、本危険性への対策が行われたアプリ(ver6.38)を、AppStoreにて公開いたしました。
アップデートがお済みでない方は、速やかにアップデートをお願いいたします。
※なお近日中に、古いバージョンのアプリの場合に、対策版アプリへのアップデートを必須にする対応を行います

アップデート後に、niconicoアカウントの「ログインパスワード」の変更をしていただくよう、お願いいたします。


※万が一、正しいパスワードを入れていてもログインできない場合、悪意のある第三者によって、ログインパスワードが変更されている恐れがあります。
この場合は、パスワードの再発行をお願いします。

パスワードの変更(再発行)の後、ログインに関する項目に変更がないか、身に覚えのないログインがないか、アカウント設定ページにてご確認をお願いいたします。

■アカウント設定ページにて、特にご確認いただきたい項目
・外部サービスログイン連携
・アプリケーション連携
・アカウントログイン情報

以前にiOS版「niconico」アプリのご利用がある方へ
「niconico」アプリ利用後に、niconicoアカウントの「ログインパスワード」の変更をされていない場合、変更していただくようお願いいたします。

※iOS版「niconico」アプリをご利用なられたことのない方におきましては、本危険性の影響はありません。


<今回修正された危険性の詳細につきまして>
発覚経路について
今回修正された危険性は、2015年8月24日、JPCERTコーディネーションセンター(JPCERT/CC)、および情報処理推進機構(IPA)を通じて、青木圭一さまからのご指摘により発覚いたしました。
ご指摘いただきましたこと、感謝申し上げます。ありがとうございます。

本危険性の分類
・「中間者攻撃(man-in-the-middle attack)」を受けうる脆弱性。

どのような状況の際に、危険性があるか
下記の条件を全て満たした際に、悪意のある第三者による危険性がある状況となっておりました。

・iOS版「niconico」アプリのバージョンが、6.38未満である。

・悪意を持って工作された無線LAN(Wi-Fiネットワーク)に接続している。
 ※3G/4G/LTE回線や、自宅・会社など、信頼できる管理者による無線LAN(Wi-Fiネットワーク)上では、危険性はございません。

提供中の他サービスにつきまして
今回のご指摘をうけまして、Android版「niconico」アプリについて、「同様の危険性はない」ことを確認いたしました。
その他のサービスにつきましても、同様の危険性がないことの確認を進めてまいります。