クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。
同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。
問題となったのは、ログインID/パスワードを入力せずに認証を行う「クイックログイン機能」(かんたんログインと表記するサイトもある)。多くの携帯電話向けサイトで実装されているこの機能は、携帯電話端末が持つ「契約者固有ID」を利用している。Webサイトにアクセスする際に、このIDをWebサーバに送信するので、携帯電話向けサイトではこのIDをもとにユーザーを認証できる。契約者固有IDは携帯電話ごとに固定されているため、通常、携帯端末上では変更できない。
PCなどから携帯向けWebサイトにアクセスする場合、通信のヘッダを書き換えることで任意のIDを送信できる。クイックログイン機能を提供するには、携帯電話端末からのアクセスを前提とし、携帯キャリアのIPアドレス範囲に限定するなどの防御が必要だが、これだけではなりすましを完全に排除できないとされている。
問題を報告したユーザーのブログによると、アクセスを行ったのはiPhoneアプリの「SBrowser」。このアプリはiPhone上で携帯電話ブラウザのエミュレートを行うもので、ランダムな契約者固有IDを送信できるほか、通信を行う際にヘッダを設定できる。このような設定はPCからアクセスする場合も同様の処理が行えるため、iPhone、およびSBrowserの問題というより、Webサイト自体の問題であるといえる。
契約者固有IDは、1つの端末からすべてのサイトに対して同一の値が送出されるため、プライバシー上の問題とセキュリティ上の問題がある。クイックログインは実装方法や運用方法によってはセキュリティ上の問題があるとされ、専門家からは懸念の声が上がっていた。この件についてヤマト運輸では、引き続きシステム的な対応を行うとしている。
関連記事
- 「PCでは見えないはず」に頼ることの危険性(@IT Security&Trustフォーラム)
- 「Yahoo!モバゲー」再開 他人のマイページにログインする不具合を修正
他人のマイページにログインする不具合が発生し、23日からサービスを中断していた「Yahoo!モバゲー」が28日再開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 「楽天ペイ」「楽天ポイントカード」「楽天Edy」アプリを統合 “史上最大級のキャンペーン”も実施 (2024年04月18日)
- 「ポケモンGO」でアバターの髪形や体形を変更可能に 早速試してみた率直な感想 (2024年04月18日)
- 「改正NTT法」が国会で成立 KDDI、ソフトバンク、楽天モバイルが「強い懸念」表明 (2024年04月17日)
- 新たな縦折りスマホがDOOGEEから登場 タフネスの次は折りたたみだ (2024年04月18日)
- 最新のXperia発表か ソニーが「Xperia SPECIAL EVENT 2024」を5月17日に開催 (2024年04月17日)
- 通話翻訳や文字起こしの「Galaxy AI」、2年前のスマホ「Galaxy S22」「Galaxy Z Flip4/Z Fold4」にも搭載 One UI 6.1へのアップデートで (2024年04月18日)
- Suicaグリーン券の購入方法 切符と比べてお得?:モバイルSuica活用術 (2024年04月18日)
- 楽天モバイル、関東地方の5Gエリアを2024年内に最大1.6倍拡大へ 衛星通信の干渉条件緩和により (2024年04月18日)
- Back Marketの「リファービッシュ製品」が中古と違うワケ 売れ筋はiPhone 13、バッテリー“100%保証”の計画も (2024年04月17日)
- 縦折りスマートフォン6機種のスペックを比較する サイズ/カメラ/価格の違いは? (2024年04月17日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。