「クイックログイン」に問題
クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
2010/10/25
ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。
同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。
問題となったのは、ログインID/パスワードを入力せずに認証を行う「クイックログイン機能」(かんたんログインと表記するサイトもある)。多くの携帯電話向けサイトで実装されているこの機能は、携帯電話端末が持つ「契約者固有ID」を利用している。Webサイトにアクセスする際に、このIDをWebサーバに送信するので、携帯電話向けサイトではこのIDをもとにユーザーを認証できる。契約者固有IDは携帯電話ごとに固定されているため、通常、携帯端末上では変更できない。
PCなどから携帯向けWebサイトにアクセスする場合、通信のヘッダを書き換えることで任意のIDを送信できる。クイックログイン機能を提供するには、携帯電話端末からのアクセスを前提とし、携帯キャリアのIPアドレス範囲に限定するなどの防御が必要だが、これだけではなりすましを完全に排除できないとされている。
問題を報告したユーザーのブログによると、アクセスを行ったのはiPhoneアプリの「SBrowser」。このアプリはiPhone上で携帯電話ブラウザのエミュレートを行うもので、ランダムな契約者固有IDを送信できるほか、通信を行う際にヘッダを設定できる。このような設定はPCからアクセスする場合も同様の処理が行えるため、 iPhone、およびSBrowserの問題というより、Webサイト自体の問題であるといえる。
契約者固有IDは、1つの端末からすべてのサイトに対して同一の値が送出されるため、プライバシー上の問題とセキュリティ上の問題がある。クイックログインは実装方法や運用方法によってはセキュリティ上の問題があるとされ、専門家からは懸念の声が上がっていた。この件についてヤマト運輸では、引き続きシステム的な対応を行うとしている。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。