パスワードを忘れた? アカウント作成
267105 story
セキュリティ

ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生 94

ストーリー by hylom
高木先生がアップを始めました 部門より

あるAnonymous Coward 曰く、

読売新聞の記事によると、ヤマト運輸の携帯電話向けサイトに特定のiPhoneアプリからアクセスした場合、自分のものでないIDでログインできてしまうという問題が発覚したそうだ。

詳細についてはこの問題を発見したというMoba氏のブログにて説明されているが、携帯電話のブラウザを偽装するiPhoneアプリ「SBrowser」で携帯電話用の「クロネコメンバーズのWebサービス」にアクセスし「クイックログイン」を行ったところ、自分のものでないIDでログインできてしまい、そのユーザーの名前や住所、電話番号などが閲覧できてしまったらしい。

問題を発見したMoba氏が高木浩光氏に相談し、高木氏から読売新聞の記者を紹介されて記事になったとのこと。高木氏からは「以前から氏が警告していたケータイID絡みの問題」「問題はサイト側にある」などのコメントを貰ったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by usay (8) on 2010年10月25日 12時11分 (#1846952) 日記

    Moba氏のブログをみると、読売新聞の記事担当者が
    関係各所に配慮して、曲解した記事を書いたようですね。

    クロネコメンバーズをよく利用してる身としては、
    おもしろおかしく記事にされて、悪用される危険性が出るまえに、
    一刻も早くヤマトに通報して、システム停止なりなんなりの処置を
    するように促してほしかったです。

    それで対応が悪いようなら、セキュリティ専門家に相談するなり
    新聞記事にするなりすれば良いかと思います。

    --
    May the source be with you... always.
    • by soltiox (25610) on 2010年10月25日 12時32分 (#1846977) 日記

      とりあえず、ここにぶら下げ。

      例えば、もし私がこのような現象を発見したら、
      多分サイト元には、通報しません。
      libhack の二の舞になるのは嫌だからです。
      あと、サイト運用元の担当者が、
      事象を正しく認識してくれるか、確信もてませんもん。

      なら、産総研にタレこむか? というと、
      レスポンス悪そうだから、それもどうか、と。
      自分で、マスコミ逝くとかは、思いつきもしないでしょうね。
      相手にされるはずが無いし。

      現実問題として、jbeef先生というのは、イイ線だと思います。
      そして、こういう現象を見つけたときに頼りになるのは、
      役所でも企業でもなく、jbeef先生という個人だ、
      という所に、非常に大きな問題があるのだと、思うのです。

      親コメント
    • by Anonymous Coward on 2010年10月25日 12時23分 (#1846966)

      それで対応が悪いようなら

      最悪逮捕されるのでいきなり通報しないのが(残念ながら現在の日本での)常識です。

      親コメント
    • 「てめぇ、不正攻撃で個人の情報盗みやがったな!」

      というのが怖いと思う。
      #どこだっけ?セキュリティホール通告したら、そいつを罰したという話。

      --
      -- gonta --
      "May Macintosh be with you"
      親コメント
    • by Anonymous Coward on 2010年10月25日 13時37分 (#1847050)

      こうしてデマが拡がっていくのだな。

      Moba氏のブログをみると、読売新聞の記事担当者が
      関係各所に配慮して、曲解した記事を書いたようですね。

      当該ブログを読んだかぎりでは記事担当者は理解はされていたが、そこから先(デスク?)で曲解されたようでしたし、(同じく読んだかぎりでは)その原因が単に上司の無理解からきたものか、関係各所に配慮したためなのか判断ができませんでした。

      Webサイトのトラブルの原因を新聞が曲解した、ってのを批判するときにその原因を勝手につくっていいんですかね?

      親コメント
    • by Anonymous Coward on 2010年10月25日 22時19分 (#1847407)

      Moba氏の補足 [blogspot.com]がでてます。

      高木氏に確認をとったところ、まずヤマト運輸に直接通報して10月12日に返答をもらい、その後にIPAに届け出てから読売新聞に通報した、とのこと(ぼくが取材を受けたのは10月15日だ)。また、ヤマト運輸側の対応がすべて終わったことを確認してから、ブログ記事を書いている。

      これを見ると高木氏からヤマトとIPAに連絡が入ってるようです。

      Moba氏は最初に若干の問題はあったかもしれないが、その後の対応は高木氏の助言もあって素晴らしいと思います。

      親コメント
  • ヤマトだけ? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2010年10月25日 11時30分 (#1846919)
    まさかこれヤマトに限らず「クイックログイン」できるサイト全部に共通する話?
    • Re:ヤマトだけ? (スコア:2, 参考になる)

      by docile-jp (16652) on 2010年10月25日 11時42分 (#1846928) 日記

      ユーザ認証に「端末ID」を使っているサイトで発生するおそれがあるのではないかと思います

      親コメント
      • Re:ヤマトだけ? (スコア:2, 参考になる)

        by Anonymous Coward on 2010年10月25日 11時49分 (#1846937)
        正確には「端末IDだけ」使っているサイトですかね。

        #他の項目があったら、クイックログイン成立しないけど
        親コメント
        • Re:ヤマトだけ? (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2010年10月25日 12時01分 (#1846946)

          「端末IDとどこからアクセスしてるか」の組み合わせでは。
          端末IDだけならこれまでもPCで偽装しようと思えばできたわけだし。

          スマートフォンなんてものが出回って、携帯電話会社のネットワークから偽装したブラウザでアクセスできるようになるとは思わなかったんでしょうね。

          親コメント
          • Re:ヤマトだけ? (スコア:4, 参考になる)

            by ramsy (8353) on 2010年10月25日 12時26分 (#1846969) ホームページ 日記
            いいえ。iPhoneの3G接続での接続元IPアドレスはいわゆるガラケーのものとは全く違います。携帯電話用に割り当てられたアドレスではありません
            当然ですよね。ガラケーはセンターで一括したゲートウェイから出て行きますが、スマートフォンは基本的に端末側にグローバルIPアドレスがつきますから。
            つまり、サーバ側は端末側が自己申告した情報のみで振り分けており、PC上で同様の携帯電話エミュレータ等を用いて接続すると同様の問題が起きる可能性があると言うことです。もっと言えばクローラーを用いて個人情報抜き取り放題です。

            FYI: SBM発表の携帯電話アクセス元 [softbank.jp]には
            ・Yahoo!ケータイからのアクセス

            123.108.237.0/27
            202.253.96.224/27
            210.146.7.192/26
            210.175.1.128/25

            ・フルブラウザからのアクセス

            123.108.237.224/27
            202.253.96.0/27

            として告知されています。iPhoneはここに含まれません。
            これに対してiPhoneの3G接続の場合は

            126.0.0.0/8

            の一部もしくは全体からアサインされるようです。
            ※こちらについては公式発表文書が見つけられなかったので実機で確認したものです。

            --
            # rm -rf ./.
            親コメント
            • by Anonymous Coward on 2010年10月25日 13時10分 (#1847023)

              ところがですね。

              SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [hatena.ne.jp]なんて話もありまして。
              今でも有効かどうかは知りませんが。

              スマホは自由であるが故に所謂ガラケーとは違う危険性も持つわけで。
              「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」(by 海江田四郎)という開かれた世界が否応なく来ているということでしょうかね。
              所謂ガラケーキャリア&ガラケー向けWebサービスは、スマホという黒船によって開国させられようとしているのかもしれません。
              鎖国状態であるが故のメリットは、開国することによるメリットと引き替えに失われる...歴史は繰り返すのですね。

              親コメント
              • な、なんちゅう「ヤマト」繋がり。

                親コメント
              • by Anonymous Coward on 2010年10月25日 15時49分 (#1847181)

                「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」

                こりゃ iPhone っちゅーよりは WinMo っすね

                そう?
                Windows系には元々「牢獄の庭を歩く自由」という概念は無いのでは?

                ガラケー:牢獄の巨大雑居房(DとKとSという部屋がある。相互の連絡は最低限に限られる。庭には出られない)。
                iPhone:牢獄(庭を歩く程度の自由はあるが、塀の外には出られない)
                iPhone(脱獄済み):自由だ! Free! ↓
                Windowsとか:最初っから脱獄の必要性もないが、勿論、路地裏には危ない人も...

                結局、それぞれメリットとデメリットがあるわけで、まだまだ考えなきゃいけないことは沢山ありそうです。

                # 雑居房の中でぬくぬくしているっていう選択肢もあっていいと思うんだけど、まぁ、そうも行かなそうですね。

                親コメント
            • by MCSM (16871) on 2010年10月25日 13時18分 (#1847035)

              auさんとかDoCoMoさんでも、スマートフォンは別IPからのアクセスなんですよね?
              でもスマートフォンから、携帯メール出来ますよってモード(DoCoMoさんだとSPモード?)だと携帯のネットワーク内に入る事になるんですかね?

              そうなるとIPアドレスで判定していても、やっぱり判定不能という事に・・・

              スマートフォンが無いので、この辺よくわかっていないので申し訳無いですが。
              スマートフォン利用の方、教えて頂けますと幸いです。

              親コメント
          • by Anonymous Coward on 2010年10月25日 12時23分 (#1846965)

            iPhoneはガラケーの「IPアドレス帯域」を使わないことになっているそうです。
            つまり、本当にちゃんと「IPアドレス帯域」をチェックしていたなら起きなかったかもしれないことです(しかしソフトバンクが保証しているわけではないので本当にそれで安全かどうかは誰も知らない)。

            親コメント
    • by gonta (11642) on 2010年10月25日 11時47分 (#1846933) 日記

      そして、悪者にされるiPhone。

      「iPhoneで人の情報丸見え」

      閲覧ソフトとシステムの問題だろ?
      #被害妄想強すぎ?

      --
      -- gonta --
      "May Macintosh be with you"
      親コメント
      • by ikotom (20155) on 2010年10月25日 12時07分 (#1846949)

        その辺の感覚がこちら側の世界と、世間一般という向こう側の世界では違うのだろうね。

        PCで言えば所謂 携帯シミュレータで機種個体IDを設定できるものなんてありふれていて、
        たとえばFireFoxプラグインとかにもあるよね。
        だから第一に「当該サイトの問題」であり、さらに言うなら「ソフトの問題」であってWinが悪いとかMacが悪いとか言わない。

        でも世間一般では、PCと携帯は「違うもの」。
        そしてiPhoneに代表されるスマートフォンは「携帯に属する」。
        ということで、それがIDを詐称できちゃうというのは脅威に感じるのかもしれない。
        だから iPhone って怖いね!となるのかもしれない。

        こっちから見たら、PCとの違いなんて無いのに何を言っているの、という感じだけどね。

        親コメント
      • by gonta (11642) on 2010年10月25日 11時53分 (#1846940) 日記

        書き方悪かった。

        「iPhoneで人の情報丸見え」

        というのがYahooトップにのった。

        iPhoneが悪いみたい・・・

        --
        -- gonta --
        "May Macintosh be with you"
        親コメント
    • by Anonymous Coward
      つーか、「クイックログイン」って何?って俺はぐぐって、ようやく割と定番なやり方だと知った。

      と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。

      何か違う?

      • by greentea (17971) on 2010年10月25日 15時33分 (#1847160) 日記

        番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。
        今回はその前提が崩れたため、こういう事態になりました。

        「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。
        それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。

        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward

        携帯持ってないから知らないけどマジかよ・・・
        ブラウザを偽装してアクセスするどうたらこうたらってあるから、
        もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?
        それを認証に使うとかあほすぎる

  • by docile-jp (16652) on 2010年10月25日 11時49分 (#1846936) 日記

    スマートフォン以外の携帯電話で同じようなことが起きるおそれはないんでしょうか
    例えば

    携帯電話で利用登録して「かんたんログイン」機能を使えるようにする

    登録したことを忘れる

    その端末を機種変して売っぱらう

    中古屋で端末を入手

    前所有者と同じサイトにアクセス

    「かんたんログイン」が使える(登録内容は前所有者の情報)

    • by Kidzuki_Nihiru (7762) on 2010年10月25日 12時13分 (#1846953)

      それは端末の識別番号が何に紐付いているかに依ります。

      # ちょっとググったらこんなのありました。
      # 公式コンテンツ・サービスは端末のIDと紐付いているのか、それともSIMカードのIDと紐付いているのでしょうか?
      # http://q.hatena.ne.jp/1256050594 [hatena.ne.jp]

      AUはSIM縛りがアレなのでよくわかりませんが、
      機種変して古い端末に別のSIMをさして使えば、別の識別番号になる場合がほとんどな気がするので、
      そこまで簡単では無いかと。
      まぁ、いずれにしても端末の識別番号はAmazonでいうところの「こんにちは、○○さん」とかログインID入力済みとか、
      その程度の紐付けにしか使っちゃダメで、必ずパスワードを入力させないといけません。
      個人情報とかと結びつかない、どうでもいい情報だけならいいかもしれないけど。

      というかガラキャリ専用のIPアドレス制限してないと、普通にHTTPヘッダ偽装で簡単に総当たり攻撃が可能です。
      気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。

      親コメント
      • by Anonymous Coward on 2010年10月25日 16時17分 (#1847199)

        >気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
        そのFireMobileSimulatorですが、デフォルトのUID設定のまま使用してる人が居るみたいです。

        私自身UID変更しないまま、とあるサイトに行ったところ勝手にログイン。
        メールアドレスとニックネーム、住所の設定項目(空欄でした)が丸見えに。
        ログインパスワードの変更も可能そう?でした。
        もちろん、面倒な事になると嫌なんでそれ以上は触りませんでしたよ。

        親コメント
    • by sindobook (35700) on 2010年10月26日 9時21分 (#1847521)
      DoCoMoのUID使えるのは公式サイトのみ(キャリアの許可を得た業者のみ)。 そしてUIDは一定期間を置いて再利用します。 そのため、UIDの更新情報がキャリアから業者へ通知されますが、 この通知に基づいて適切に手元の顧客情報を更新するのを怠ると、そのような現象は発生します。
      IモードIDの方はどうだか知りません。
      親コメント
  • オレは (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2010年10月25日 12時00分 (#1846945)
    「クロネコヤマト」と「コジンジョウホウ」を生贄にして「jbeef」を召喚するっ!!
  • 今朝ヤフーニュースの読売の記事で知りましたけど、

    http://headlines.yahoo.co.jp/hl?a=20101024-00000747-yom-soci [yahoo.co.jp]
    思いっきり
    『サイト閲覧を可能にするソフトが原因だ。』
    って書いてますね。

    全然サイト側の問題だって意味には読めませんでした。

  • もう対処済み? (スコア:2, 参考になる)

    by Anonymous Coward on 2010年10月25日 14時15分 (#1847078)
    ヤマトからこんなお知らせが。
    http://www.kuronekoyamato.co.jp/info/info_101025.html [kuronekoyamato.co.jp]
  • by Anonymous Coward on 2010年10月25日 11時50分 (#1846938)
    どことは言わないけど。
  • by Sukoya (33993) on 2010年10月25日 12時28分 (#1846971) 日記

    うわあ!iPhoneのアプリでアクセスしたら個人情報がみえてしまったぞお!たいへんだあ!(棒読み)

    iPhoneと不正なアプリを使った人間が悪い!タイホ!(笑)

    には、壮絶な違いが……

  • まっさきに高木さんの言ってたことが頭をよぎった。
    ここ [takagi-hiromitsu.jp]とか、ここ [takagi-hiromitsu.jp]とか)

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...