パスワードを忘れた? アカウント作成
222978 story
セキュリティ

ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に 35

ストーリー by hylom
本当はおそろしいかんたんログイン 部門より

あるAnonymous Coward 曰く、

セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している(『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』)。

この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。

一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメインに対応するIPアドレスを書き換えてもCookieは送信されず、上記の問題は発生しない。いっぽう「かんたんログイン」の場合、認証に使われる携帯電話の機種固有IDはどのドメインに対しても同じものが送信されるため、DNS RebindingとAjaxを組み合わせての攻撃が可能となる。

問題となっている携帯電話端末はJavaScript機能およびAjax機能を備えた端末で、調べた限りでは全ソフトバンク端末の4割程度が影響を受けるとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 関連ストーリーのドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [srad.jp]とキャリアが違うだけの同じ話に見えますが、違うかな
    そうすると対処法も一緒?

    • by Anonymous Coward on 2010年05月25日 18時36分 (#1769395)
      今回のはJavascriptでHostヘッダーも書き換えられるので、アプリ側で対策のしようが無い点で困ったものなのです。
      親コメント
      • さらに、一部の機種では、setRequestHeaderメソッドによりHostフィールドを書き換え可能なものがあり、この場合は、従来推奨していた「Hostフィールドのチェック」によるアプリケーション側での対策がとれないことがわかった。

        この部分ですか。
        これでは防ぎようがないですね。

        親コメント
      • ガラケーでは通信を行うと自動でユーザーIDが添付されますから、
        攻撃者の勝手サイトに設置したJavaScriptからなんとかして公式サイトにアクセスさせるだけで、
        アクセスした公式サイトへのログインが完了してしまいます。
        で、その結果を攻撃者のサイトに転送するなり何なりすれば個人情報げっちゅ。ウハウハ。
        で、その「なんとかして別サーバーにアクセスさせる」ために「DNSリバインディング」を使うことができる。
        ここまでドコモと一緒。

        で、ドコモの場合は、ヘッダのHOSTを書き換えることができないので、そこをチェックすればサーバー側で止められたのですが、
        ソフトバンクの場合には、ヘッダのHOSTすらもJavaScript側で書き換え可能なので、サーバー側で判定することはできないらしい。
        対策は端末でスクリプトをOFF。

        通信するだけでログイン完了ってのは実に恐ろしいですね・・・。

        親コメント
  • 公式でも対応策が公開されました.
    まあ、JavaScriptをオフにしてくれと。
    http://mb.softbank.jp/mb/information/details/100527.html [softbank.jp]

    半年前に知っていたらしいんで、今まではソフトウェアアップデートで修正しようと頑張っていたけど、
    アップデートの準備が整う前に脆弱性を公開されちゃった、という感じでしょうか。

    • by Anonymous Coward
      広報部のひとも11月にわかってたと言ってるようですが、 不具合放置したまま冬モデルや春モデルの新機種を堂々と売るなんて…。
      • by Anonymous Coward

        まあソフトバンクだし。

  • なんといいますか (スコア:1, オフトピック)

    by kieru_haim (37792) on 2010年05月25日 19時25分 (#1769417) 日記
    だからでしょうか、お財布携帯など含め、
    信用ならず今でも使用していません・・・。
    銀行などもインターネットからいろいろ出来るようですが、そういうのも信用できず、
    使ってなかったり・・・。
    こういう業界(IT系)にいながら、逆に時代に取り残されているか感が私はあります(苦笑)。
    • by Anonymous Coward

      うーん。こういう業界なればこそ
      いろいろな情報が集まるわけだから
      メリットとデメリットを秤にかけたりして
      取捨選択できるんだと思うけどな。

      # 正直、家の鍵の脆弱性に比べれば
      # お財布携帯の脆弱性なんて無いようなもんですよ

      • by Anonymous Coward

        取捨選択した結果、「全部信用ならん」となったんじゃないかな…。
        この手の仕事してれば、ハードもソフトも結構イイカゲンなのは目にしますし。

    • by Anonymous Coward

      それなのにIDとってスラドに書き込むなんて
      何やってんですか

    • by Anonymous Coward
      おサイフケータイは関係ないですよ。なんでもいっしょにすりゃーいいってもんじゃありません。
      • 技術的なくくりではなく、
        携帯電話には電話とメールしか期待していない私からしてみたら、
        それ以外の機能で、外部とデータの送受信を行い、何かしようというようなものは全部同じようなものです。
        親コメント
        • さらに補足しますと、
          バグがあるだろうプログラム(携帯電話)を使って動いているものたいして、
          サービス(個々の機能)単位で見てもバグがあるだろうと思われる機能を使って、
          個人情報や金銭のやりとりは行いたくないというのが本音です。

          ただ、それをやらなくては仕事や生活に支障が出るというのでしたら、
          使用しますが、そうでないのなら、使う事はないでしょうね。
          親コメント
      • by Anonymous Coward

        元コメのヒトにとっては無線機器は全部一緒なんですよ。

  • by Anonymous Coward on 2010年05月25日 18時09分 (#1769383)

    そもそもかんたんログインみたいな方法を公開ネットワーク上で使うこと自体
    リスクがあると思いますが、それはそれとしてソフトバンクには対応願いたいところ。
    むしろcookieに対応してない端末がまだかなり多いドコモは大丈夫かしら。
    http://takagi-hiromitsu.jp/diary/20100520.html#p01 [takagi-hiromitsu.jp]

  • by Anonymous Coward on 2010年05月25日 18時11分 (#1769385)

    ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。

    • by yu_raku (419) on 2010年05月25日 18時38分 (#1769397)

      そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
      そうすれば機能的に損なう物もないですし。

      親コメント
      • by tietew (6130) on 2010年05月25日 19時33分 (#1769423) ホームページ
        アドバイザリを読んでください。XMLHttpRequestオブジェクトに於いて、Hostヘッダが上書きできてしまうため、仮想ホストでHostヘッダをチェックしていても、すり抜けてしまいます。サーバ側で対策ができません。

        PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
        親コメント
        • by Anonymous Coward
          DNS Rebindingどうこうではなく、コレこそが一番危険なセキュリティホールでは…?
          タレコミにコレも書いてくれないと。
          • by Anonymous Coward
            Host: の書き換え自体、何が危険ですか?(かんたんログインが使われていないとして)
            • by Anonymous Coward

              括弧内の条件は

              タレコミにコレも書いてくれないと。

              とどう関係してるんだ?

              • by Anonymous Coward
                >>>「DNS Rebindingどうこうではなく、コレこそが一番危険なセキュリティホールでは…?」

                意訳:DND rebinding に関係なく、Host: の書き換え自体が危険

                → Host: 書き換えの危険性って何ですか?
              • by Anonymous Coward

                がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね

              • by Anonymous Coward

                #1769778 の理解は正しいと思うんだけど、どう違うの?

      • by Anonymous Coward on 2010年05月25日 18時58分 (#1769407)

        > そんなことをせずとも、きちんとバーチャルホストの設定をして、
        バーチャルホストの設定は「かんたんログイン」とやらの設計そのものの根本的な欠陥を回避するためにやむなく行うことで、設定していないからと言って「きちんと」していないのではない。
        「かんたんログイン」などさっさと捨ててしまうことこそ「きちんと」した対応。
        > 予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
        そもそもDNS Rebindingの影響を受けないとしても安全性など保証されていないけど、それ以前に今回のソフトバンクの件ではsetRequestHeaderでHostを書き換え可能な機種が存在するので明らかに安全ではない。せめてリンク先のアドバイザリくらい読んでから物言ったら?
        > そうすれば機能的に損なう物もないですし。
        別に端末IDがないと機能を維持できないわけではない。

        親コメント
      • by Anonymous Coward
        高木先生がまたこの手のコメントに憤慨しなければいいのだが。
  • by Anonymous Coward on 2010年05月25日 19時14分 (#1769410)
    要するにガラケーは危ないってことですね。

    #絶対フレームの元なのでACで
    • by 90 (35300) on 2010年05月25日 21時33分 (#1769475) 日記

      端末の閉鎖性を当て込んで作ったような仕組みはやだなあ(棒

      親コメント
    • by mmgames (37884) on 2010年05月26日 10時33分 (#1769654)

      脆弱性があれば危ないのはPCだって全くおんなじではあります。

      が、ガラケーサイトの場合「ケータイキャリアのゲートウェイ経由の通信は全面的に信用する」というセキュリティ方針で開発されているので、
      実のところキャリア側にかかっている負担はかなりのものなのではないかと。海外進出の妨げにもなっているはず。
      今後端末機能を強化していく時に常に癌となりそうな仕様です。

      例えば、AU の Wi-Fi WIN では、無線LAN経由でガラケーサイトに接続することができるのですが、
      これは無線LANで直接ガラケーサイトにアクセスしているのではなくて、
      通信を暗号化した上でわざわざ AU の ゲートウェイ を経由しているらしいです。
      なので、AUの設備的には通信量が増える一方なので、無線LANなのに月額料金を取るハメになっています。

      ちなみに ソフトバンク の ケータイWi-Fi の場合にはガラケーサイトには接続できません。

      こんな感じで、既に、かんたんログインを死守するために、
       ・ソフトバンクはせっかくの新機能なのにケータイサイトへのアクセスを提供できない
       ・AUはせっかくの新機能なのに月額料金をとらないとならない
      という歪みがでてしまっています。

      長くなりましたが、要は、かんたんログインの問題点というのは、
      キャリアの対応がしっかりしている限りはセキュリティの問題はさほど心配ないのですが、
      逆に言えばキャリアに掛かっている負担はかなりのものであると同時に、
      今後の機能拡張は困難を極めると予想されます。

      親コメント
    • >要するにガラケーは危ないってことですね。

      開発者の命がですね、分かります。
      #これでまた、どこかの部署でデスマが発生するんだろうなあ。

    • by Anonymous Coward

      フレームの元じゃなくて荒らしだろ
      思いこみによる単なる誹謗中傷でしかない

      • by Anonymous Coward

        フレームの元じゃなくて荒らしだろ
        思いこみによる単なる誹謗中傷でしかない

        え? 懸念が挙がっていたものが、現実になったということでは?
        具体的手段が違うとはいえ、根本原因となっているのはガラバゴス化したケータイサイト業界が
        個人識別番号に頼った認証方法にあるので、付け焼き刃の対策したところでいずれボロが出るということです。
        ソフトバンクということであれば、 98.7%はcookieが使える端末 [takagi-hiromitsu.jp]だそうで、PC同様のセッション管理すれば?って話。

        • by Anonymous Coward

          ソフトバンクということであれば、 98.7%はcookieが使える端末だそうで、PC同様のセッション管理すれば?って話。

          使える端末は 100% じゃないですかね。1.3% の人がオフに設定してるってだけで。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...