CRITICALCVE-2026-33875CVSS 9.3

Authenticator は、認証フローハイジャックに対して脆弱である

Q: CVE-2026-33875 とは何ですか？（Authenticator）

ディープリンクは、ウェブページではなく、アプリケーション内の特定の場所へ誘導するリンクです。この場合、悪意のあるディープリンクがAuthenticator アプリケーションを欺く可能性があります。

Q: Authenticator の CVE-2026-33875 による影響を受けていますか？

アプリケーションの設定で、Gematik Authenticator アプリケーションのバージョンを確認してください。バージョンが 4.16.0 以前の場合は、脆弱です。

Q: Authenticator の CVE-2026-33875 を修正するにはどうすればよいですか？

使用しているすべてのデジタル医療アプリケーションでパスワードをすぐに変更し、医療サービスプロバイダーに通知してください。

Q: CVE-2026-33875 は積極的に悪用されていますか？

はい、バージョン 4.16.0 以降にアップデートすると、脆弱性が修正されます。アプリケーションをアンインストールして再インストールする必要はありません。

Q: CVE-2026-33875 に関する Authenticator の公式アドバイザリはどこで確認できますか？

詳細については、Gematik の公式ドキュメントを参照するか、デジタル医療サービスプロバイダーにお問い合わせください。

プラットフォーム

android

コンポーネント

app-authenticator

修正版

4.16.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33875は、Gematik Authenticatorにおける認証フローハイジャックの脆弱性です。この脆弱性により、攻撃者は被害者が悪意のあるディープリンクをクリックすることで、被害者のIDで認証できる可能性があります。4.16.0より前のバージョンが影響を受けます。この問題はバージョン4.16.0で修正されています。

影響と攻撃シナリオ

Gematik Authenticator アプリケーションにおいて、深刻な脆弱性（CVE-2026-33875）が特定されました。この脆弱性は、バージョン 4.16.0 以前のバージョンにおいて、認証フローの乗っ取りを可能にするものです。攻撃者は、ユーザーが悪意のあるディープリンクをクリックさせ、正規のユーザーとして認証させることが可能になります。これにより、機密性の高い医療情報への不正アクセスや、ユーザーの同意なしにユーザーの代わりにアクションを実行されるリスクがあります。CVSS スコアは 9.3 で、重大なリスクを示しています。この脆弱性は、ユーザーの医療データのセキュリティとプライバシーに直接影響を与えます。

悪用の状況

攻撃者は、SMS、電子メール、ソーシャルメディアなど、さまざまなチャネルを通じて悪意のあるディープリンクを配布する可能性があります。正規のユーザーがこのリンクをクリックすると、Authenticator アプリケーションが意図された医療サービスではなく、攻撃者との認証を試みることがあります。この攻撃は、認証フローを操作し、バージョン 4.16.0 以前のディープリンクの検証が不十分であることを悪用します。この攻撃の実行の容易さと潜在的な影響を考慮すると、医療データのセキュリティに対する重大な脅威となります。

リスク対象者翻訳中…

Users of Gematik Authenticator who rely on it for secure access to digital health applications are at risk. This includes patients, healthcare providers, and administrative staff. Individuals who frequently click on links from unknown or untrusted sources are particularly vulnerable.

検出手順翻訳中…

• android / supply-chain:

Get-InstalledPackage -Name "Gematik Authenticator"

• android / supply-chain:

adb shell dumpsys package com.gematik.authenticator | grep versionName

• android / supply-chain: Check app permissions for suspicious deep link handling capabilities.

攻撃タイムライン

2026-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントapp-authenticator

ベンダーgematik

影響範囲修正版

< 4.16.0 – < 4.16.04.16.1

弱点分類 (CWE)

CWE-940

タイムライン

予約済み2026-03-24
公開日2026-03-27
更新日2026-04-03
EPSS 更新日2026-04-04

緩和策と回避策

推奨される対策は、Gematik Authenticator アプリケーションをバージョン 4.16.0 以降に直ちにアップデートすることです。このアップデートには、認証フローの乗っ取り脆弱性を軽減するための修正が含まれています。この脆弱性に対する既知の回避策はありません。アプリケーションのすべてのユーザーに、データとアカウントを保護するために、できるだけ早くアップデートを実行することを強く推奨します。インストール後にアプリケーションが正常にアップデートされていることを確認してください。アップデートプロセスについてご不明な点がございましたら、Gematik の公式ドキュメントを参照するか、デジタル医療サービスプロバイダーにお問い合わせください。

修正方法

認証フローハイジャックの脆弱性を修正するには、Gematik Authenticator アプリケーションをバージョン 4.16.0 以降に更新してください。この更新により、攻撃者が悪意のあるリンクをクリックした被害者の ID で認証できる問題が解決されます。既知の回避策はありません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33875 とは何ですか？（Authenticator）