ヤマト運輸のモバイルサイトで特定のiPhoneアプリでアクセスすると他人の個人情報を閲覧できる問題が 94
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
読売新聞の記事によると、ヤマト運輸の携帯電話向けサイトに特定のiPhoneアプリからアクセスした場合、個人情報が含まれる他人の会員ページを閲覧できてしまうという問題が発覚したそうだ。
詳細については、この問題を発見したというMoba氏のブログにて説明されているが、携帯電話のブラウザを偽装するiPhoneアプリ「SBrowser」で携帯電話用の「クロネコメンバーズのWebサービス」にアクセスし、「クイックログイン」を行うと自分のものでないIDでログインできてしまい、そのユーザーの名前や住所、電話番号などが閲覧できてしまったらしい。
問題を発見したMoba氏が高木浩光氏に相談し、高木氏から読売新聞の記者を紹介されて記事になったとのこと。高木氏からは「以前から氏が警告していたケータイID絡みの問題」「問題はサイト側にある」などのコメントを貰ったという。
まっさきにヤマトに通報してほしかった (スコア:5, すばらしい洞察)
Moba氏のブログをみると、読売新聞の記事担当者が
関係各所に配慮して、曲解した記事を書いたようですね。
クロネコメンバーズをよく利用してる身としては、
おもしろおかしく記事にされて、悪用される危険性が出るまえに、
一刻も早くヤマトに通報して、システム停止なりなんなりの処置を
するように促してほしかったです。
それで対応が悪いようなら、セキュリティ専門家に相談するなり
新聞記事にするなりすれば良いかと思います。
May the source be with you... always.
Re:まっさきにヤマトに通報してほしかった (スコア:5, すばらしい洞察)
とりあえず、ここにぶら下げ。
例えば、もし私がこのような現象を発見したら、
多分サイト元には、通報しません。
libhack の二の舞になるのは嫌だからです。
あと、サイト運用元の担当者が、
事象を正しく認識してくれるか、確信もてませんもん。
なら、産総研にタレこむか? というと、
レスポンス悪そうだから、それもどうか、と。
自分で、マスコミ逝くとかは、思いつきもしないでしょうね。
相手にされるはずが無いし。
現実問題として、jbeef先生というのは、イイ線だと思います。
そして、こういう現象を見つけたときに頼りになるのは、
役所でも企業でもなく、jbeef先生という個人だ、
という所に、非常に大きな問題があるのだと、思うのです。
Re:まっさきにヤマトに通報してほしかった (スコア:2, 興味深い)
Re:まっさきにヤマトに通報してほしかった (スコア:3, すばらしい洞察)
最悪逮捕されるのでいきなり通報しないのが(残念ながら現在の日本での)常識です。
Re:まっさきにヤマトに通報してほしかった (スコア:2)
「てめぇ、不正攻撃で個人の情報盗みやがったな!」
というのが怖いと思う。
#どこだっけ?セキュリティホール通告したら、そいつを罰したという話。
-- gonta --
"May Macintosh be with you"
Re:まっさきにヤマトに通報してほしかった (スコア:2, すばらしい洞察)
こうしてデマが拡がっていくのだな。
当該ブログを読んだかぎりでは記事担当者は理解はされていたが、そこから先(デスク?)で曲解されたようでしたし、(同じく読んだかぎりでは)その原因が単に上司の無理解からきたものか、関係各所に配慮したためなのか判断ができませんでした。
Webサイトのトラブルの原因を新聞が曲解した、ってのを批判するときにその原因を勝手につくっていいんですかね?
高木氏>ヤマトとIPA>読売新聞 (スコア:1, 参考になる)
Moba氏の補足 [blogspot.com]がでてます。
これを見ると高木氏からヤマトとIPAに連絡が入ってるようです。
Moba氏は最初に若干の問題はあったかもしれないが、その後の対応は高木氏の助言もあって素晴らしいと思います。
Re:高木氏>ヤマトとIPA>読売新聞 (スコア:1)
いや第一発見者はひろみちゅに連絡しただけでIPAやヤマトとやりとりしてそれからマスコミに投げたのは全部ひろみちゅだと思うんだが。
ヤマトだけ? (スコア:2, すばらしい洞察)
Re:ヤマトだけ? (スコア:2, 参考になる)
ユーザ認証に「端末ID」を使っているサイトで発生するおそれがあるのではないかと思います
Re:ヤマトだけ? (スコア:2, 参考になる)
#他の項目があったら、クイックログイン成立しないけど
Re:ヤマトだけ? (スコア:2, すばらしい洞察)
「端末IDとどこからアクセスしてるか」の組み合わせでは。
端末IDだけならこれまでもPCで偽装しようと思えばできたわけだし。
スマートフォンなんてものが出回って、携帯電話会社のネットワークから偽装したブラウザでアクセスできるようになるとは思わなかったんでしょうね。
Re:ヤマトだけ? (スコア:4, 参考になる)
当然ですよね。ガラケーはセンターで一括したゲートウェイから出て行きますが、スマートフォンは基本的に端末側にグローバルIPアドレスがつきますから。
つまり、サーバ側は端末側が自己申告した情報のみで振り分けており、PC上で同様の携帯電話エミュレータ等を用いて接続すると同様の問題が起きる可能性があると言うことです。もっと言えばクローラーを用いて個人情報抜き取り放題です。
FYI: SBM発表の携帯電話アクセス元 [softbank.jp]には
・Yahoo!ケータイからのアクセス
・フルブラウザからのアクセス
として告知されています。iPhoneはここに含まれません。
これに対してiPhoneの3G接続の場合は
の一部もしくは全体からアサインされるようです。
※こちらについては公式発表文書が見つけられなかったので実機で確認したものです。
# rm -rf ./.
Re:ヤマトだけ? (スコア:2, 興味深い)
ところがですね。
SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [hatena.ne.jp]なんて話もありまして。
今でも有効かどうかは知りませんが。
スマホは自由であるが故に所謂ガラケーとは違う危険性も持つわけで。
「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」(by 海江田四郎)という開かれた世界が否応なく来ているということでしょうかね。
所謂ガラケーキャリア&ガラケー向けWebサービスは、スマホという黒船によって開国させられようとしているのかもしれません。
鎖国状態であるが故のメリットは、開国することによるメリットと引き替えに失われる...歴史は繰り返すのですね。
独立宅配国家くろねこやまと (スコア:2)
な、なんちゅう「ヤマト」繋がり。
Re:ヤマトだけ? (スコア:1, 興味深い)
そう?
Windows系には元々「牢獄の庭を歩く自由」という概念は無いのでは?
ガラケー:牢獄の巨大雑居房(DとKとSという部屋がある。相互の連絡は最低限に限られる。庭には出られない)。
iPhone:牢獄(庭を歩く程度の自由はあるが、塀の外には出られない)
iPhone(脱獄済み):自由だ! Free! ↓
Windowsとか:最初っから脱獄の必要性もないが、勿論、路地裏には危ない人も...
結局、それぞれメリットとデメリットがあるわけで、まだまだ考えなきゃいけないことは沢山ありそうです。
# 雑居房の中でぬくぬくしているっていう選択肢もあっていいと思うんだけど、まぁ、そうも行かなそうですね。
Re:ヤマトだけ? (スコア:1)
auさんとかDoCoMoさんでも、スマートフォンは別IPからのアクセスなんですよね?
でもスマートフォンから、携帯メール出来ますよってモード(DoCoMoさんだとSPモード?)だと携帯のネットワーク内に入る事になるんですかね?
そうなるとIPアドレスで判定していても、やっぱり判定不能という事に・・・
スマートフォンが無いので、この辺よくわかっていないので申し訳無いですが。
スマートフォン利用の方、教えて頂けますと幸いです。
Re:ヤマトだけ? (スコア:2, 興味深い)
iPhoneはガラケーの「IPアドレス帯域」を使わないことになっているそうです。
つまり、本当にちゃんと「IPアドレス帯域」をチェックしていたなら起きなかったかもしれないことです(しかしソフトバンクが保証しているわけではないので本当にそれで安全かどうかは誰も知らない)。
Re:ヤマトだけ? (スコア:2)
そして、悪者にされるiPhone。
「iPhoneで人の情報丸見え」
閲覧ソフトとシステムの問題だろ?
#被害妄想強すぎ?
-- gonta --
"May Macintosh be with you"
Re:ヤマトだけ? (スコア:3, 興味深い)
その辺の感覚がこちら側の世界と、世間一般という向こう側の世界では違うのだろうね。
PCで言えば所謂 携帯シミュレータで機種個体IDを設定できるものなんてありふれていて、
たとえばFireFoxプラグインとかにもあるよね。
だから第一に「当該サイトの問題」であり、さらに言うなら「ソフトの問題」であってWinが悪いとかMacが悪いとか言わない。
でも世間一般では、PCと携帯は「違うもの」。
そしてiPhoneに代表されるスマートフォンは「携帯に属する」。
ということで、それがIDを詐称できちゃうというのは脅威に感じるのかもしれない。
だから iPhone って怖いね!となるのかもしれない。
こっちから見たら、PCとの違いなんて無いのに何を言っているの、という感じだけどね。
Re:ヤマトだけ? (スコア:2)
書き方悪かった。
「iPhoneで人の情報丸見え」
というのがYahooトップにのった。
iPhoneが悪いみたい・・・
-- gonta --
"May Macintosh be with you"
Re:ヤマトだけ? (スコア:1)
「iPhoneで人の情報丸見え」
Yahoo というか Softbank だと宣伝にしか見えないのは、私の心が汚れているからだろう。
たぶん。。。
Re:ヤマトだけ? (スコア:1)
極秘ツール「iPhone」で個人情報ぶっこぬき
1を聞いて0を知れ!
Re:ヤマトだけ? (スコア:2, おもしろおかしい)
ははぁ、戦艦みたいなもんですか。
Re:ヤマトだけ? (スコア:1)
Re: (スコア:0)
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
Re:ヤマトだけ? (スコア:1)
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。
今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。
それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
1を聞いて0を知れ!
Re: (スコア:0)
携帯持ってないから知らないけどマジかよ・・・
ブラウザを偽装してアクセスするどうたらこうたらってあるから、
もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?
それを認証に使うとかあほすぎる
Re:ヤマトだけ? (スコア:2)
Cookieもヘッダ情報なので結局同じことになると思います。
みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
Re:ヤマトだけ? (スコア:1)
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
Re:ヤマトだけ? (スコア:1)
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
ふと思ったのだけど (スコア:2, 興味深い)
スマートフォン以外の携帯電話で同じようなことが起きるおそれはないんでしょうか
例えば
携帯電話で利用登録して「かんたんログイン」機能を使えるようにする
↓
登録したことを忘れる
↓
その端末を機種変して売っぱらう
↓
中古屋で端末を入手
↓
前所有者と同じサイトにアクセス
↓
「かんたんログイン」が使える(登録内容は前所有者の情報)
Re:ふと思ったのだけど (スコア:3, 参考になる)
それは端末の識別番号が何に紐付いているかに依ります。
# ちょっとググったらこんなのありました。
# 公式コンテンツ・サービスは端末のIDと紐付いているのか、それともSIMカードのIDと紐付いているのでしょうか?
# http://q.hatena.ne.jp/1256050594 [hatena.ne.jp]
AUはSIM縛りがアレなのでよくわかりませんが、
機種変して古い端末に別のSIMをさして使えば、別の識別番号になる場合がほとんどな気がするので、
そこまで簡単では無いかと。
まぁ、いずれにしても端末の識別番号はAmazonでいうところの「こんにちは、○○さん」とかログインID入力済みとか、
その程度の紐付けにしか使っちゃダメで、必ずパスワードを入力させないといけません。
個人情報とかと結びつかない、どうでもいい情報だけならいいかもしれないけど。
というかガラキャリ専用のIPアドレス制限してないと、普通にHTTPヘッダ偽装で簡単に総当たり攻撃が可能です。
気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
Re:ふと思ったのだけど (スコア:1, 参考になる)
>気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
そのFireMobileSimulatorですが、デフォルトのUID設定のまま使用してる人が居るみたいです。
私自身UID変更しないまま、とあるサイトに行ったところ勝手にログイン。
メールアドレスとニックネーム、住所の設定項目(空欄でした)が丸見えに。
ログインパスワードの変更も可能そう?でした。
もちろん、面倒な事になると嫌なんでそれ以上は触りませんでしたよ。
業者次第 (スコア:1)
IモードIDの方はどうだか知りません。
オレは (スコア:2, おもしろおかしい)
Re:オレは (スコア:3, おもしろおかしい)
トラップカード「新聞記者」を発動!
真実を闇に覆い、影響の矛先を変える!
Re:オレは (スコア:2, おもしろおかしい)
召喚とかしなくても、普通に招待講演をお願いしたらいいんじゃない?
「問題はサイト側にある」などのコメントを貰ったという。 (スコア:2, 参考になる)
今朝ヤフーニュースの読売の記事で知りましたけど、
http://headlines.yahoo.co.jp/hl?a=20101024-00000747-yom-soci [yahoo.co.jp]
思いっきり
『サイト閲覧を可能にするソフトが原因だ。』
って書いてますね。
全然サイト側の問題だって意味には読めませんでした。
Re:「問題はサイト側にある」などのコメントを貰ったという。 (スコア:2, 参考になる)
「クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性」
http://www.itmedia.co.jp/news/articles/1010/25/news044.html [itmedia.co.jp]
こっちの方がマシみたいですね。
読売は記事を密かに修正した模様 (スコア:2)
詳しくない人が誤解する可能性はありますが、一般の新聞ということを考えるとそんなにおかしな記事とは思いませんでした。
もしかしてと思いWeb魚拓で確認したところ、25日09時の魚拓 [megalodon.jp]によると
見出しが「iPhoneで人の情報丸見え…閲覧ソフト原因」であり、記事自体もサイト側の問題とは読めない内容ですね。
現時点では見出しも内容も大幅に変わっていますが、当初と同じく「10月25日(月)3時10分配信」「最終更新:10月25日(月)3時10分」
となっており、非難をかわすために密かに修正してもみ消しを図ったと思われても仕方ない状況かと思います。
こういったことを平然と行うせいで信用を失ったり嫌われたりするということが未だに理解できないのでしょうかねえ。
単なる臆病者の Anonymous Cat です。略してACです。
Re:読売は記事を密かに修正した模様 (スコア:1)
これはひどい・・・
私がリンク貼って引用した時とは全く違う記事になってますね。
マスコミがこんなことするって本当に恐ろしいですね。
Re:「問題はサイト側にある」などのコメントを貰ったという。 (スコア:1)
該当の記事はネット&デジタルに載っているこれ [yomiuri.co.jp]でしょうか
Re:「問題はサイト側にある」などのコメントを貰ったという。 (スコア:2)
そういうのが妥当ではないかと。
それで言いたいことが言い得るかどうかはわかりませんけど。
Re:「問題はサイト側にある」などのコメントを貰ったという。 (スコア:1)
「おれたちはセンターラインを右50cm(反対向きだと左50cm)はみ出して走っていた。
俺たちはみんなこれで走っていて、今まで事故など一度も起こしたことがない。
ところが、奴はセンターラインピッタリで走ってきたので衝突した。
センターラインぴったりに走るなんてマナー違反だ。許せん。」
もう対処済み? (スコア:2, 参考になる)
http://www.kuronekoyamato.co.jp/info/info_101025.html [kuronekoyamato.co.jp]
赤の他人でもIDいれたら荷物の追跡できるところもあるよ (スコア:1, 興味深い)
銭形か?図書館か? (スコア:1)
うわあ!iPhoneのアプリでアクセスしたら個人情報がみえてしまったぞお!たいへんだあ!(棒読み)
と
iPhoneと不正なアプリを使った人間が悪い!タイホ!(笑)
には、壮絶な違いが……
このニュース見た時に (スコア:0, 既出)
まっさきに高木さんの言ってたことが頭をよぎった。
(ここ [takagi-hiromitsu.jp]とか、ここ [takagi-hiromitsu.jp]とか)
たいていテザリングだとGWを通さないです (スコア:5, 興味深い)
携帯電話からWAPブラウザを使うときは専用のAPNで繋いで、HTTPプロキシを通して携帯IPから出て行きます。テザって使うときは別のGWを使って直接インターネットに出ます。キャリアのプロキシがDPIによって偽装UIDを完全に遮断することができていれば大丈夫、ということになってます。
これが実際に破られたのが、昨年の"iモードブラウザ2.0"事件 [srad.jp]です。XmlHttpRequestを使うことでGWに書き換えられないようにUIDを偽装することができたため、対象機種のWAP接続が遮断され、数日のうちに複数回のアップデートが行われる事態となりました。