iPhoneで人の情報丸見え…閲覧ソフト原因 : 社会 : YOMIURI ONLINE(読売新聞)(情報元のブックマーク数[http://www.yomiuri.co.jp/national/news/20101024-OYT1T00
識者によるまとめが、Togetter - 「クロネコモバイルの脆弱性についてまとめ」にあるらしい。
高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”してしまった――。
http://www.yomiuri.co.jp/national/news/20101024-OYT1T00747.htm
アイフォーン利用者の間でそんなトラブルが起きている。本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、サービスの一部を停止し、被害状況の調査を始めた。
yomiuriの記事を見るより、以下の記事を見てもらった方が良いと思う。実際の報告者と記者とのやり取りとか含めて書かれています。
実は、この件について読売新聞に情報を伝えたのは、ぼくだ。
Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
だが、このオンラインの記事は見出しやまとめ方が不味く、経緯や原因をちゃんと説明しているとは言い難い。
そこで、当事者の一人としてできるかぎり詳しくまとめてみようと思う(ちなみに、紙の新聞ではもっと詳しくちゃんとまとめられているとのこと。この記事を書いている時点では確認できていない)。
この時、「クイックログイン」というボタンをたまたま押してみたところ、なんと見知らぬ他人のIDが出て来た!
Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
そこで、恐る恐る「お客さま情報の確認」というのを選んでみると、IDやパスワードの入力を求められることなく個人情報が丸見えになってしまった!
とりあえず画面キャプチャを撮影した後(iPhoneはキャプチャがすぐ撮れてこういう時に助かる)、クロネコヤマトに通報するべきかと最初は思ったが、一般人が言ったところで聞いてもらえるかは分からないし、そもそもどこにどう通報していいのかも全く分からない。
そこで、セキュリティの専門家である高木浩光氏に相談のメールを送った次第だ。当初ぼくが思っていたよりもこれは重大事だったようで、高木氏いわく、
Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
・以前から氏が警告していたケータイID絡みの問題の中で、「実際に被害が出た」点が新しい
・問題はSBrowserよりも、サイト側(つまりヤマト運輸側)にある
とのことだった。
それだけに、今回のYOMIURI ONLINEのまとめ方があまりにも乱暴なことにびっくりした。記事はどう読んでもスマートフォン(特にiPhone)が悪いと書いてあるようにしか読めないし、ヤマト運輸にあまり落ち度がないかのような表現ととれる。
Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
Twitterってすごいな、中の人だらけだwww
こっちは正しいな。
クロネコヤマトで知られるヤマト運輸は、同社の携帯電話向け会員サービス「クロネコメンバーズのWebサービス」において、一部のスマートフォンから特定の操作をすると、他人のアカウントにログインできてしまう脆弱性が見つかったことを発表した。
ヤマト運輸の携帯サイトに脆弱性、他人の情報が閲覧可能に -INTERNET Watch Watch
発表された脆弱性は、携帯電話向けの「クロネコメンバーズのWebサービス」でクイックログイン機能を利用している場合、一部のスマートフォンで特定のアプリを利用して操作すると、本人とは別のユーザーがログインできてしまうというもの。ヤマト運輸では、10月19日にクイックログイン機能を停止しており、10月25日からID入力のみを省略し、パスワード入力を必須とする形で同機能を再開した。
ヤマト運輸のシステム側の対応が素晴らしかったという意見、確かになぁ。。。
この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。
ヤマト運輸の対応が素晴らしかった
自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。
今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しました。
ITMedia宮田さんの記事だ。これも正しいしよくまとまっている。
問題を報告したユーザーのブログによると、アクセスを行ったのはiPhoneアプリの「SBrowser」。このアプリはiPhone上で携帯電話ブラウザのエミュレートを行うもので、ランダムな契約者固有IDを送信できるほか、通信を行う際にヘッダを設定できる。このような設定はPCからアクセスする場合も同様の処理が行えるため、iPhone、およびSBrowserの問題というより、Webサイト自体の問題であるといえる。
クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 - ITmedia NEWS
契約者固有IDは、1つの端末からすべてのサイトに対して同一の値が送出されるため、プライバシー上の問題とセキュリティ上の問題がある。クイックログインは実装方法や運用方法によってはセキュリティ上の問題があるとされ、専門家からは懸念の声が上がっていた。この件についてヤマト運輸では、引き続きシステム的な対応を行うとしている。