2010年10月25日(月曜日)

更新: 2010年11月4日15時20分頃

学生会員向け：アカデミックプログラム Vol.13「Webアクセシビリティの基礎と2010年JIS改定のポイント」 (www.w2c.jp)、終了しました。聴きに来てくださったみなさま、Ustreamでご試聴くださったみなさま、ありがとうございました。

録画が以下で見られます。

どうも音声がうまく入っていなかったようで、収録されているものはTake3です。

※追記:しかも後半は録画に失敗していたそうで、休憩後の部分は録画がありません。すみません……。

スライドのPDFを以下に置いておきますので、興味ありましたらどうぞ。

※しれっと図書館ネタが入っていますが他意はありません。特定の企業や特定のサイトだけの問題ではないということでひとつ……。

公開: 2010年10月26日14時0分頃

ヤバイヤバイと言われ続けてきたケータイサイトの「かんたんログイン」機能ですが、個人情報漏洩の実例が出てしまったようで。

ちなみに読売の記事は当初「ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因」という見出しで、あたかもブラウザ側の問題であるかのような書きぶりでしたが、当然ながらサイト側の問題です。

サイト側では対応が済んでいて、「クイックログイン機能」を停止してパスワードの入力を必須にするという対応が実施されています。

以前、「ケータイの流儀を常識と思いこむのは危険」という話でも書きましたが、端末IDによる認証はIDを詐称されないという前提でギリギリ成立するものです。もし採用するなら絶対に詐称を許さないようにしなければなりません。その方法の一つがアクセス元のIPアドレスをキャリアのものに限定するというものです。

今回の話ではiPhoneからアクセスできたということですから、アクセス元を制限していなかった可能性が高そうです。発見の経緯については、発見者とおぼしき方本人が書かれた記事があります。

ソフトバンク端末の端末ID送出をエミュレートするソフトを使っていて、普通にアクセスしたらなぜか他人の情報が見えてしまったということのようで。困って高木さんに相談、高木さんからヤマト、IPA、読売新聞に連絡が行ったという経路らしいですね。

※ふつうにIPAへの届出のみだと、もっと時間がかかった上に詳細が公表されなかった可能性も高いような気がする今日この頃。