パスワードを忘れた? アカウント作成
183247 story
セキュリティ

ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 44

ストーリー by hylom
数年前から指摘されているのにアホかと 部門より

774THz 曰く、

やや古い話になるが、ドコモ携帯の携帯固有IDのみを用いたWebサイト認証の脆弱性がHASHコンサルティングより報告されている(情報公開日は昨年11月24日)。この問題は、数年前からセキュリティ研究家の高木浩光氏が指摘していたものだ(「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者」、「ケータイWebはどうなるべきか」)。

この問題は読売新聞でも取り上げられている(「最新29機種ドコモ携帯、個人情報流出の恐れ」)

専門家では無いのでややセンセーショナルな読売の記事見出しが適切かどうかは判断が付きかねる。技術的な詳細に関しては専門の方々の解説を求む。

(追記@16:08)今回発覚した問題と、高木氏が指摘していた問題はどちらも固有IDを悪用するという点は共通しているものの、異なるものだという指摘をいただきました(#1702037)。高木氏が指摘していたのは、携帯電話ネットワーク側のゲートウェイIPアドレスを用いてアクセス制限を行っているサイトに対しPCから攻撃を行える可能性がある、という問題で、今回の問題はDNSキャッシュ汚染を利用することで携帯電話からアクセスしてきたユーザーの情報を悪意のあるサイトが詐取できる、というものです。ご指摘ありがとうございました。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 簡単=危険 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2010年01月13日 14時13分 (#1702050)
    特に簡単を「かんたん」と書くような輩を信用してはいけない
    • by aloha5234 (38834) on 2010年01月14日 9時34分 (#1702472)
      同じくそう思います。
      ただ、便利な機能として、導入したくなるのも分かります。
      やはりこの辺はトレードオフなのでしょうね。

      そういえば、OpenIDとかスカイゲートって携帯対応していましたっけ?
      親コメント
      • by Anonymous Coward

        便利な機能として、導入したくなるのも分かります。 やはりこの辺はトレードオフなのでしょうね。

        そういうのを思考停止と言う。

        なすべきことは、便利でかつ安全なものを作ること。
        それを怠っているのが悪い。

    • by Anonymous Coward
      その洞察は感嘆に値する。
  • by Anonymous Coward on 2010年01月13日 13時27分 (#1701991)

    > 「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」
    あの、ジャバスクリプトを利用するのは悪意あるサイトの方なんですけど。

    • 「悪用厳禁」的な何かです。

      親コメント
    • 読売新聞が (スコア:1, 参考になる)

      by Anonymous Coward on 2010年01月13日 13時58分 (#1702029)

      > 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。

      記事中の「利用者の携帯のジャバスクリプトを使って」というのは、JavaScriptがクライアントで動作することを踏まえても、所有格でつなげるのは違和感を感じます。これでは利用者と携帯端末に問題があるように読めてしまう。おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。

      問題があるのは、携帯電話の固有IDを送るドコモの仕様と悪意あるサイトに置かれたスクリプトなのだから

      「悪意ある携帯用サイトに置かれたジャバスクリプトは、接続してきた利用者が意図しない形で、利用者が会員になっている別のサイトに接続させることができる。」 とすべきではないか?

      親コメント
      • by Anonymous Coward

        > おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。
        ああ、今回のDNS Rebinding問題とは無関係に一般的なXSS対策の話とかをドコモがしたところだけ切り貼りしてくれば確かにありえますね。
        ちょっとドコモに好意的すぎる気もするけど読売新聞のレヴェルを考えるとそれも十分あり得るなあ。

  • Re: 部門名 (スコア:2, 参考になる)

    by Anonymous Coward on 2010年01月13日 14時04分 (#1702037)
    >「数年前から指摘されているのに」

    数年前から指摘されている問題とは異なりますよ。
    高木氏がこれまで指摘してきたのは、(1)固有IDが全サイトに常時送信されることによる個人の行動との紐づけ、(2)固有IDをログイン情報代わりにする場合に、キャリアのゲートウェイのIPアドレスのリストを常時更新し続けなければPC等から偽装して送信可能であるという問題、についてです。

    (1)は置いておいて、(2)についてはサイト運営者がキャリアのGWのIPアドレスを常時きちんと更新できていれば(できるのか?)問題は発生しないはずだったのですが、今回のはJavaScriptとDNS rebindingを組み合わせることで携帯電話だけを用いて攻撃が可能になる、という点が大きく異なります。

    今回の手法は、携帯電話に偽のDNS情報を返すことで、正規サイト内のコンテンツを罠サイトのドメイン内の一部とみなしてJSからアクセスするというものです。
    • Re: 部門名 (スコア:3, 参考になる)

      by 774THz (34338) on 2010年01月13日 14時59分 (#1702093)
      タレ込んだ本人ですが、高木氏の指摘は解説いただいた固有IDの使用そのものにまつわる問題であることは承知しております. タレ込み本文が紛らわしかったため、編集で(脆弱性が)「数年前から指摘されているのに」という直接的な表現に手直しされたようです.

      技術解説の物書き仕事をする場合、編集者のお陰で細かい間違いをせずに済むことが非常に多いです.
      しかし、時には技術的な内容の分かる編集者が気をきかせてくれたはずの校正でかえって技術的な正確さが損なわれることもあるものです.(筆者の再校正が無い場合・再校正で編集者による修正を見落とした場合などは仕方無いですね)
      親コメント
      • by hylom (27448) on 2010年01月13日 16時06分 (#1702153) ホームページ 日記

        すいません。てっきり高木氏の指摘(「IPアドレス帯域」をどうやって安全に更新するのか [takagi-hiromitsu.jp])を斜め読みして、DNSキャッシュ汚染の指摘をしているものと勘違いしていました。ご指摘ありがとうございます。適切に修正します。

        親コメント
        • Re: 部門名 (スコア:3, 参考になる)

          by tagomoris (37361) on 2010年01月13日 16時57分 (#1702187)

          「DNSキャッシュ汚染」という言葉はまだ誤解を招くんじゃないかな。

          今回の攻撃でポイントなのはアクセス先のWebサイト(およびそのDNSレコード)は攻撃側のものであるため、攻撃側が自由に変更可能である、という点です。
          「DNSキャッシュ汚染」と言われると、Webサイト管理者やDNSキャッシュサーバ管理者以外の第三者からの攻撃のように見える。この誤解を避けるため、紹介記事などでは poisoning と書かず rebinding と記述されているものと思います。

          親コメント
          • by Anonymous Coward
            もうhylomの中では終わった話題なのでこれ以上何を言っても無駄ですよ。
          • by Anonymous Coward
            いや、だから、hylom氏が「DNSキャッシュ汚染」の話と勘違いしたという話でしょ?
            日本語大丈夫?
            • by tagomoris (37361) on 2010年01月13日 20時55分 (#1702306)

              追記部分に以下のように書かれてますから読んでおいてくださいね。

              > 今回の問題はDNSキャッシュ汚染を利用することで携帯電話からアクセスしてきた
              > ユーザーの情報を悪意のあるサイトが搾取できる、というものです。

              親コメント
              • by Anonymous Coward
                キャッシュ汚染ではなく、手持ちのドメイン情報を連続更新するだけ。
                キャッシュ汚染とは全く別物の攻撃。
            • by Anonymous Coward

              その勘違いを今でも垂れ流しているわけだが。

              本当に
              > もうhylomの中では終わった話題なのでこれ以上何を言っても無駄ですよ。
              って感じだな。

              クビに出来ないの?

  • かんたんIDというのはあくまで端末からの自己申告によるユーザIDなんだからユーザIDとしての扱いをすれば済む話だと思うんだけどな。逆にそのような前提での使い方をするなら便利なもの。要は使いようだよね。

    たとえばこんな使い方なら問題ないのではないだろうか。

    1)ユーザがログインページにアクセス
    2)クッキーによるセッション確認が出来ない
    3)かんたんIDによる確認画面へ
    4)登録済みの携帯メールアドレスにワンタイムURLを送信
    5)ワンタイムURL経由でセッション開始

    --
    屍体メモ [windy.cx]
    • ログインのたびに、わざわざ1つメールを受信して、開いて、URLにアクセスするわけですね。
      私が許しても、一般人が許さないでしょう。普通の人(+ウェブサイト発注者)はセキュリティより利便性重視でしょうし。

      もうCookie使えない端末はご遠慮ください。にするのが一番さ。とりあえず、SBとAUはOKぽいし。最大手のドコモのダメさはなんなんでしょう。
      親コメント
      • 本来かんたんIDというものは
        Cookieが使えない端末のためのものでは?
        そういう端末の利便性が犠牲になるのはしかたないかと。
        セキュリティと利便性はやはりトレードオフになる
        部分が出てきて仕方ないと思います。
        そりゃ両立できるに越した事ないけど。

        --
        屍体メモ [windy.cx]
        親コメント
        • by Anonymous Coward
          これはJavaScriptが使える(=Cookieが使える)端末の問題ですから、Cookieが使えるなら使って、使えない場合はかんたんIDにフォールバックすると対策になる? 何か穴はないかな?
      • by Anonymous Coward
        docomo2.0・・ちがったiモードブラウザ2.0からはcookie使えるそうですよ。
        2.0はJavaScriptが使えるのでこの問題が出てきたわけですがね。。。

        #JavaScriptによるアクセスは端末固有ID送信しないようにすれば解決しないかね
  • by Anonymous Coward on 2010年01月13日 14時01分 (#1702034)
    ケータイサイトというガラパゴスな世界内のみの安全神話(キャリアIPアドレス範囲指定でアクセス制限した上での、固有ID使用)が、Javascriptという黒船により崩壊したというわけですね。

    高木氏の言うように、携帯サイト向けのセキュリティがあまいのは、携帯がCookieにも対応してなかったのが大きいと思う。Cookieさえあれば、固有IDなんてものに依存しなくてよかっただろうし。それでも、簡単に利用できる固有ID使ってたかもね・・・

    とりあえず、携帯サイトとか関係なく、全部1つのウェブとしてセキュリティも構築しないと。
  • by Ryo.F (3896) on 2010年01月13日 20時29分 (#1702299) 日記

    DNSキャッシュ汚染を利用することで携帯電話からアクセスしてきたユーザーの情報を悪意のあるサイトが搾取できる

    ユーザ情報を搾り取るの?詐って取る=詐取の間違い?
    #まさかマル経用語でもあるまい。

  • by Anonymous Coward on 2010年01月13日 13時54分 (#1702025)
    DNSへの攻撃が成功してる時点で、どうなの?
    • Re:ん? (スコア:2, 参考になる)

      by jobsa (39063) on 2010年01月13日 14時09分 (#1702045)
      DNSを攻撃してるわけではなく、自分のサイトのDNSを短期間に変えてるってことでしょう。

      自分のサイトにアクセスさせ、自分のサイトのDNSを攻撃先のIPアドレスに向け、そのまま自分のサイトにアクセス(javascriptを利用しアクセス指示)したことは、攻撃先にアクセスしたことになり、そこでのやりとりを盗み出す、ってこと。
      親コメント
  • by Anonymous Coward on 2010年01月13日 15時06分 (#1702096)

    対策はホボこの一点に集中しているのでは。

    影響範囲
    (略)
    HTTPリクエストヘッダのHOSTフィールドをチェックしていない

    つまり、default hostで運用するなって事かと。

    • by Anonymous Coward

      それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?

      ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス
      http://124.83.147.204/ [124.83.147.204]
      でアクセスできますよね。

      必要がなければ制限しないのはごく普通のことでは?

      • Re: (スコア:0, おもしろおかしい)

        by Anonymous Coward
        >それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?

        ついさっき常識になった。

        >ヤフージャパンの http://www.yahoo.co.jp/ だって、数値IPアドレス
        >http://124.83.147.204/
        >でアクセスできますよね。

        だからどうした。

        >必要がなければ制限しないのはごく普通のことでは?

        セキュリティ責任者でそんな事いったら異常者扱いされる。
        • by Anonymous Coward on 2010年01月13日 16時34分 (#1702177)

          > ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス
          > http://124.83.147.204/ [124.83.147.204]
          > でアクセスできますよね。

          だからどうした。

          だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。

          親コメント
          • by Anonymous Coward

            だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。

            「脆弱性が発見された場合にそれを容易に改善できない」仕組みを採用したことが諸悪の根源です。

            別に新しい仕組みを考えること自体は悪くないと思いますよ。
            iモードIDも、「適切に運用」できればこんなに便利な技術はないです。
            もっともこの実装じゃ、たとえ私に運用を任されても、適切に運用できそうにありませんが…。(笑

            もっと根を探るなら、日本人がよく陥る「この仕組みは完璧ですか?」「完璧ですよ!」論こそ悪かなと。
            世の中にはそんなもの存在しないのにねぇ。

            かたや某宇宙のかなたではあの限られた環境で「こんなこともあろうかと」が連発するというのに。
            比べるのが間違いなのはわかるけど、少し爪の垢を煎じて飲んだほうがいいですよ!

        • by Anonymous Coward

          お前の中では(ry

      • by Anonymous Coward

        あのね、今更 JavaScript とかかんたん認証にからめて騒いでいる人が多いかも知れないけれど、他人のドメイン名が勝手に自分のサーバーに向いていたらどうしようかっていうのはもう何万回も議論されているネタなの。

        ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。

        • by Anonymous Coward

          #1702096
          >つまり、default hostで運用するなって事かと。

          #1702691
          >ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。

          言ってること全然違うね。

        • by Anonymous Coward

          他人のドメイン名が勝手に自分のサーバーに向いていたら

          べつに何も問題ないですね。

          そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう

          ええー?アホな。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...