情報漏洩

ヤマト運輸のサイトにアクセスしたiPhoneユーザが、他人の情報を閲覧できてしまった事件があった。
これに関して、何故このような事が起きたのか解説して欲しい旨の連絡を頂いたので書いてみる。

携帯電話には固有の端末番号などを送出する機能がある。
事業者によって方法は異なるのだが、auはezwebのサーバ側からIDを送出し、ドコモは端末単体でIDを送出する仕組みだ。
これらは端末の固有番号(電話番号と紐付けられている)なので、認証に利用できる。

携帯電話などでIDやパスワードを入力するのは手間だ。
そこで、このIDを取得して認証に使う仕組みがある。
この方法は簡易ログインとか簡単ログインなどと呼ばれ、様々なサイトで使われている。
アクセスすると自動的にIDが送出され、そこで簡易認証が行われてログインの手間を省く。

では、何故ここにiPhoneが関係したのか。
iPhoneではPCサイトを見ればいいのだが、縦横スクロールや拡大縮小しながら見るのは手間なのだ。
一方でケータイ向けのサイトは横スクロール無しで見られるようにレイアウトされているため、iPhoneユーザはケータイ用のサイトを見ようとする。
しかしユーザエージェントなどでiPhoneであるとバレてしまうと閲覧が出来ない。
そこでユーザエージェントの偽装アプリを使うわけだ。
これでケータイになりすます事が出来るが、ケータイであれば送出されるはずの固有番号も出さなければ完全な偽装とは言えない。
そこで適当な数字列のIDを送出するように作られたアプリがあった。

ここのIDは適当な数字の組み合わせだったのだろうが、たまたまそのIDを利用している本人が居たから話がややこしくなる。

そしてそのご本人様はヤマト運輸に個人情報を登録していた。
そこにiPhoneでアクセスした人がUA偽装でIDを送出したら、そのIDを持っている本人と同一だったために(他人なのに)ログインできてしまった。

問題は大きく二つあると思う。
一つはヤマト運輸側のセキュリティが甘かった事。
ケータイIDは偽装送出可能な信号なので、iPhoneなりPCなりで偽装ソフトを動かせば簡単に送出できてしまう。
従ってこのIDを利用して認証を行う場合には、接続してくる端末が本当に携帯電話か否かをチェックしなければならない。
これは簡単な事で、各事業者に割り当てられたIPアドレスかどうかを見ればいい。
こうしておけば偽装によるセキュリティ障害は発生しない。

もう一つは根本的問題なのだが、偽装可能なIDだと言う事だ。
これがもっと長いデータでチェックビットでも付いていれば偽装は難しくなり、たまたま合致してしまう可能性も減少する。
ezwebのようにサーバ送出型にすれば更にセキュリティ上は有利になる。

ヤマト運輸と同じような実装がなされているサイトならば同様なセキュリティホールがあると思われるが、今回のこの事件で各社共に見直しの機会になったのではないだろうか。