公開日:2025/11/25 最終更新日:2025/11/25

JVN#63368617
スマートフォンアプリ「FOD」 におけるハードコードされた暗号鍵使用の脆弱性

概要

株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、ハードコードされた暗号鍵使用の脆弱性が存在します。

影響を受けるシステム

  • Androidアプリ「FOD」 5.2.0より前のバージョン
  • iOSアプリ「FOD」 5.2.0より前のバージョン

詳細情報

株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、次の脆弱性が存在します。

  • ハードコードされた暗号鍵の使用(CWE-321
    • CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1
    • CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 4.0
    • CVE-2025-64304

想定される影響

当該製品にハードコードされた暗号鍵を第三者に取得される可能性があります。

開発者によると、これらの鍵を取得されたとしても影響は極めて限定的であり、通常の使用形態において、ユーザーのなりすましなどの攻撃はほぼ不可能であるとのことです。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は暗号鍵を内包しない次のバージョンをリリースしています。

  • Androidアプリ「FOD」 5.2.0
  • iOSアプリ「FOD」 5.2.0
なお、開発者によると
  • 本件の影響を受けるバージョンを使用している場合、起動時に即時アップデートを強制される
  • 当該暗号鍵は2025年11月17日に無効化されており、当該暗号鍵を使用した通信や処理は既に不可能となっている
とのことです。

ベンダ情報

ベンダ リンク
株式会社フジテレビジョン 【お知らせ】ハードコードされた暗号鍵使用の脆弱性について

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-64304
JVN iPedia JVNDB-2025-000108