1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. くら寿司 公式アプリに危険度の高い脆弱性 CVE-2026-41872-悪意ある無線LANでプッシュ通知の盗聴・改ざんが可能

くら寿司 公式アプリに危険度の高い脆弱性 CVE-2026-41872-悪意ある無線LANでプッシュ通知の盗聴・改ざんが可能

セキュリティニュース

投稿日時: 更新日時:

くら寿司 公式アプリに危険度の高い脆弱性 CVE-2026-41872-悪意ある無線LANでプッシュ通知の盗聴・改ざんが可能

2026年5月11日、独立行政法人情報処理推進機構(IPA)およびJPCERT/CCは、くら寿司株式会社の公式スマートフォンアプリ「くら寿司 公式アプリ」(開発:株式会社EPG)における証明書検証不備の脆弱性をJVN#38632731として公開しました。

CVE-2026-41872として採番されたこの脆弱性のCVSSスコアはCVSS 4.0で9.1(Critical)に達しており、悪意ある無線LANアクセスポイントを介した中間者攻撃(Man-in-the-Middle Attack)によって、プッシュ通知に関する通信内容の盗聴や改ざんが行われる可能性があります。修正済みバージョン3.9.11がAndroid・iOSともに提供されており、影響を受けるバージョンを使用している場合はアプリ起動時に即時アップデートが強制されます。

この記事のサマリー

  • CVE-2026-41872(JVN#38632731):くら寿司公式アプリのプッシュ通知に関する通信で**証明書検証が行われていない(CWE-295)**脆弱性が発見されました。
  • CVSS 4.0スコアは9.1(Critical)、CVSS 3.0スコアは7.4(High)です。
  • 影響バージョンはAndroidおよびiOSのバージョン2.0.11〜3.9.10です。
  • 悪意ある無線LAN(偽アクセスポイント)を設置した攻撃者による中間者攻撃で、プッシュ通知の内容を盗聴したり、偽の通知内容に改ざんしたりできる可能性があります。
  • 修正済みバージョン3.9.11がリリース済みで、影響を受けるバージョンのアプリを起動すると即時アップデートが強制されます。
  • 発見・報告者:小川 剛 氏(SAK University 株式会社エスアイイー)。情報セキュリティ早期警戒パートナーシップに基づきIPAに報告しJPCERT/CCが調整。

脆弱性の詳細

項目 内容
JVN番号 JVN#38632731
CVE番号 CVE-2026-41872
CVSS 4.0 スコア 9.1(Critical)
CVSS 3.0 スコア 7.4(High)
CWE CWE-295(証明書検証不備)
影響を受けるバージョン Android / iOS バージョン 2.0.11〜3.9.10
修正済みバージョン 3.9.11(Android / iOS)
公開日 2026年5月11日
開発元 株式会社EPG
報告者 小川 剛 氏(SAK University 株式会社エスアイイー)

証明書検証不備とはどういう脆弱性か

証明書検証不備(CWE-295)とは、アプリがサーバーとの通信において、相手のSSL/TLS証明書が正当なものであるかを適切に確認しない(または全く確認しない)という脆弱性です。

本来、スマートフォンアプリとサーバー間の通信はSSL/TLSで暗号化され、証明書の検証によって「本物のサーバー」と通信していることが保証されます。しかしこの検証が不十分な場合、攻撃者が偽のサーバーとして割り込む「中間者攻撃」が成立します。

くら寿司公式アプリでは、この問題がプッシュ通知に関する通信で発生しており、証明書を検証せずに通信が行われていたと考えられます。

想定される攻撃シナリオ

攻撃者は飲食店周辺・商業施設・公共の場所等に偽の無線LANアクセスポイント(フリーWi-Fiを装った偽AP等)を設置します。くら寿司公式アプリをインストールしたユーザーがその偽APに接続すると、攻撃者はアプリのプッシュ通知に関する通信に割り込みます。証明書検証がないため、偽サーバーであってもアプリは通信を続けます。その結果、攻撃者はプッシュ通知の内容を盗聴するか、偽のプッシュ通知内容に改ざんして送り付けることが可能になります。

プッシュ通知の内容によっては、注文情報・席番号・待ち時間等のサービス情報が含まれる可能性があります。改ざんによる偽の通知(例:「今すぐこちらからログインしてください」等)でユーザーをフィッシングサイトに誘導する二次攻撃への利用も理論上は考えられます。

即時アップデートが推奨

くら寿司公式アプリを使用している場合は、バージョン3.9.11にアップデートしてください。

なお、公開情報によれば「影響を受けるバージョン(2.0.11〜3.9.10)を使用している場合、アプリを起動すると即時アップデートが強制される」とのことです。次回アプリを起動した際にアップデート画面が表示されたら速やかに更新してください。

アップデートはGoogle PlayストアおよびApp Storeから行えます。

参考情報

関連記事

MITRE、2025年版 最も危険なソフトウェア 脆弱性トップ25を公表MITRE、2025年版 最も危険なソフトウェア 脆弱性トップ25を公表 NEC「Aterm」シリーズのWifi ルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性もNEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 沖縄総合事務局、FileZenへの不正アクセスで15,091名の個人情報漏洩の恐れ-CVE-2026-25108へのゼロデイ攻撃か沖縄総合事務局、FileZenへの不正アクセスで15,091名の個人情報漏洩の恐れ-CVE-2026-25108へのゼロデイ攻撃か マネーフォワードの不正アクセス本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定 MaLion 端末エージェント(Windows)で複数の深刻な脆弱性(CVE-2025-59485 ,CVE-2025-62691, CVE-2025-64693)MaLion 端末エージェント(Windows)で複数の深刻な脆弱性(CVE-2025-59485 ,CVE-2025-62691, CVE-2025-64693) Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429)Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429) Google、デスクトップ版 Chromeを緊急更新 WebGPUとV8の高危険度脆弱性を修正(CVE-2025-14765,CVE-2025-14766)Google、デスクトップ版 Chromeを緊急更新 WebGPUとV8の高危険度脆弱性を修正(CVE-2025-14765,CVE-2025-14766) 富士通のAuthConductor Client Basic V2に脆弱性、SYSTEM権限での不正操作の恐れ富士通のAuthConductor Client Basic V2に脆弱性、SYSTEM権限での不正操作の恐れ