情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は、3キャリアが提供しているアプリ「＋メッセージ」（プラスメッセージ）に、脆弱性があることを明らかにした。各社とも不具合を修正した最新版の提供を行っている。

「＋メッセージ」アプリで明らかになったのは、SSLサーバー証明書の検証不備の脆弱性が存在するというもの。アプリがWebサーバーに対してSSL/TLS接続の要求を行った際、不正なSSLサーバー証明書が送信されても、警告を出さずに接続してしまうという。これにより、悪意のある第三者が無線LANのアクセスポイントを設置するなどして、中間者攻撃（man-in-the-middle attack）による暗号通信の盗聴などが行われる可能性があるとしている。

脆弱性が発見されたアプリのバージョンは、iOS版（3キャリア共通）は「1.1.21」以前のバージョン。Android版は、NTTドコモが「42.40.2600」以前、KDDIが「1.0.3」以前、ソフトバンクが「10.1.1」以前のバージョン。

「＋メッセージ」アプリのバージョン キャリア 脆弱性判明 修正済みバージョン iOS 3キャリア共通 1.1.21 1.1.23～ Android NTTドコモ 42.40.2600 42.40.2800～ KDDI 1.0.3 1.0.6～ ソフトバンク 10.1.1 10.1.7～

【訂正 2018年2018/10/03 11:24】

初出時、記事末尾の脆弱性情報の報告に関する記載について、当該報告者から記載内容は誤りであると指摘があったため、該当部分を削除しました。脆弱性情報の詳細はJVNのWebページで参照できます。