« 阿久根市・市議会解散請求の署名活動始まる | トップページ | 中西準子先生が文化功労者に »

2010.10.25

ついに爆発、携帯IDがセキュリティホールか?

読売新聞より「iPhoneで人の情報丸見え…閲覧ソフト原因

高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”してしまった――。
アイフォーン利用者の間でそんなトラブルが起きている。

本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。

会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、サービスの一部を停止し、被害状況の調査を始めた。

トラブルが起きたのは、ヤマト運輸の「クロネコヤマトモバイルサイト」。

サイト上で集荷や再配達の依頼をできるサービスで、9月末現在、パソコンでの利用者を含め約560万人が登録しているが、氏名、住所、電話番号、メールアドレスなどの登録情報を他人が閲覧できるケースが確認された。

少なくとも2人から閲覧されていたことが分かった首都圏の女性会社員(28)は

「便利なサイトだと思っていたのに、情報が漏れていたとはショックだ。これから迷惑メールや電話が来るのではと不安」
と語る。同社では
「情報が漏れてしまったことは大きな問題。25日までに対策をとりたい」
としている。

同サイトを含め、日本の多くの携帯サイトは携帯IDなどによって閲覧者を識別しているため、携帯IDを持たないパソコンやスマートフォンでは基本的に閲覧できない。

しかし、アイフォーンの公式サイトで販売されているソフト(アプリ)「エスブラウザ」を使うと、アイフォーンに任意の携帯IDを割り当て、接続したサイト側に「携帯電話」と認識させるため、閲覧できるようになる。

今回のトラブルは、このソフトが複数の利用者に同一のIDを割り当てていたことが原因だ。

アイフォーン以外のスマートフォンでも、エスブラウザと同様のソフトが販売されており、ヤマト運輸では、現在詳しい被害を調査している。

一方、ヤマト運輸以外にも、個人認証を携帯IDのみで行っているサイトでは、同様の問題が発生しているとみられる。

エスブラウザの販売元「さいこち」(大阪府)では、

「本来、携帯サイトの開発者がアイフォーンを使ってサイトの機能を検証するためのソフトで、今回は想定外の使われ方だ」
としているが、エスブラウザは既に約2万5000本を販売。実際には、多くの一般の利用者が携帯サイトを見るために購入しているとみられ、同社では今後、同じID番号を提供しないような対策をとるという。

アイフォーン販売元で、公式サイトでのソフト販売を認めている米アップル社の日本法人「アップルジャパン」は「著作権法違反など反社会的な内容でなければ認めている。

販売後のトラブルは販売業者と購入者で解決してほしい」としている。

スマートフォンの利用者は拡大を続けており、調査会社「MM総研」(東京都)の調査では、スマートフォンの予測販売台数は、2010年度は携帯電話全体の1割強だが、5年後には5割を超えるとみられる。

(2010年10月25日 読売新聞)

なぜこの記事が、読売新聞に出たのかは、slashdot の「ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生」にいきさつが説明されています。

読売新聞の記事によると、ヤマト運輸の携帯電話向けサイトに特定のiPhoneアプリからアクセスした場合、自分のものでないIDでログインできてしまうという問題が発覚したそうだ。

詳細についてはこの問題を発見したというMoba氏のブログにて説明されているが、携帯電話のブラウザを偽装するiPhoneアプリ「SBrowser」で携帯電話用の「クロネコメンバーズのWebサービス」にアクセスし「クイックログイン」を行ったところ、自分のものでないIDでログインできてしまい、そのユーザーの名前や住所、電話番号などが閲覧できてしまったらしい。

問題を発見したMoba氏が高木浩光氏に相談し、高木氏から読売新聞の記者を紹介されて記事になったとのこと。

高木氏からは

「以前から氏が警告していたケータイID絡みの問題」「問題はサイト側にある」
などのコメントを貰ったという。

結局、高木浩光氏がだいぶ前から、警告していた問題がアプリとして登場してしまったのが、原因らしい。
高木氏自身のコメントはまだ無いようです。

要するに、携帯電話に付いてくる「簡単ログイン」でインターネットアクセスの認証を簡易化する手法自体が問題だ、と高木氏は警告しています。
非常に大量の文章なのですが、比較的まとまっているのが「今こそケータイID問題の解決に向けて」です。

高木氏の説明によると、恐ろしくマヌケというか、何を考えているのだ?的な状況ですが「普及しちゃったから仕方ない」といったところで、事件が起きるのを待っていた、といったところです。

このあたりの話を見ていると、頭がクラクラしてきます。

10月 25, 2010 at 09:31 午後 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/49845348

この記事へのトラックバック一覧です: ついに爆発、携帯IDがセキュリティホールか?:

コメント

twitterでこの話は流れてきてましたが、今回はじめて読売の紙面文章が読めました。
iPhoneアプリが原因のような書き方はWeb版だからじゃないかという話もありましたが、こちらを読んでも同じ論調ですね。(長いだけで)
ヤマト運輸側はサイトのセキュリティ問題として対策・公表しているのに。
どうしてこの様な記事になってしまうんでしょう。

投稿: めいさいらっぱ | 2010/10/26 8:35:30

わたしも全体を理解していないのだろうと思いつつなのですが・・・・・・・・。

  1 携帯というかなり立派な鍵があった。
  2 鍵がしっかりしているから、錠の開け方を公開しても安全。
  3 鍵はしっかりしていたが、別の素材でか気を作ることは出来た。
  4 悪いのは誰か?

普通この種の問題では、少数派が悪者にされるわけですが、あまりに広まってしまったので、どこに責任を追求するのかもはっきりしなくなってしまった。

高木氏の考えは、「こんな鍵と錠前を使うなよ」なのですね。

現時点で一番確実なのは、簡単ログインを利用しているサイトが、簡単ログインの使用を止めてしまうことなのですが、ヤマト運輸などが踏み切るかどうかが注目ですね。

投稿: 酔うぞ | 2010/10/26 8:51:11

簡単ログインやめます。
めんどいけど。

投稿: tambo | 2010/10/26 11:33:33

偽装できる情報だけで、認証をつくらないというのはエンジニア基本なのですが、多くの場合クライアント様の「問題ないからやれ」の一言で覆ります。
今回の件、ヤマトは潜在的なリスクについて認識していた可能性が高いと、私は想像しています。セキュリティをチェックするテストを申し込めば、大体、指摘される内容ですから。

単にパスワードを組み合わせれば解決できる内容ではありますが、それも認証エラーをちゃんと監査しないかぎりは、リスクは残り続けるでしょう。

投稿: わくたま | 2010/10/26 12:17:04

簡単ログインの問題は、一言で言うと
1.IDだけでパスワード無しにログインできる。
2.携帯からしかログインできないように誤解されているが、実際にはPC上からでもIDを入れれば、パスワード無しにログインできる。
3.だから、何らかの原因でIDを知られてしまったり、IDがたまたま一致してしまったら、他人になりすましてログインできてしまう。

ことに尽きると理解して良いでしょうか。

p.s.中西準子さんの文化功労者受賞おめでとうございます。中西さんのサイトで知りました。

投稿: YTR3320 | 2010/10/26 21:47:17

>YTR3320さん
1.そのとおりです
2.サイトによっては携帯からしか接続できないようにIPアドレスで制限しています。
3.基本的にすべてのサイトに同じIDを送付しており、サイト運営者であればユーザーのIDを取得するのは容易です。

要はcookieと同じことをしたかったのが、
ドコモが最近までcookieに対応していなかったため端末個有番号に目をつけたというのが発端です。

ご参考までに

投稿: サルガッソー | 2010/10/27 9:53:39

サルガッソーさん、ありがとうございました。

投稿: YTR3320 | 2010/10/28 7:14:57

コメントを書く