水無月ばけらのえび日記

secure.softbank.ne.jp廃止できません!?

公開: 2011年7月15日2時10分頃

これは驚きました……「モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流 (d.hatena.ne.jp)」。

なんということでしょう。

7月からは、secure.softbank.ne.jpで表示されるのは公式サイトのみ (かつ、ソフトバンクに申請したサイトのみ) になりましたから、公式サイトと無関係の者が罠コンテンツを置くことは難しくなりました。以前のように、ただちに危険だと言える状況ではなくなったと言って良いでしょう。

では全く問題ないかというと、そうでもありません。secure.softbank.ne.jpを利用するサイトの中、いずれか一箇所にでもXSS脆弱性があれば、これら銀行サイト全てが影響を受けることになります。自身の努力ではどうにもならない部分でセキュリティのリスクを負うのは、できれば避けたい事態です。

どうしてこんなことになってしまうのか、その理由を推測してみると、大きく2つ考えられます。

一つは、ソフトバンクがセキュリティ上の問題を告知していないのではないか、という点です。ITmediaの「ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起 (plusd.itmedia.co.jp)」を見ても、方式変更の理由は「サイト開発の利便性向上のため」としか書かれておらず、セキュリティ上の問題があったということには全く触れられていません。これは、ソフトバンクがそのように発表しているためだと考えられます。

セキュリティ上の問題があるのだということを知らなければ、できるだけシステムの改修をしなくて済むよう、従来の方法を使い続けたいと考えるのは自然なことでしょう。特に銀行はシステムの安定性が求められますから、なおさらです。

そしてもうひとつ考えられるのは、ルール上、HTTPSを使わざるを得なかったのではないかということです。ある程度以上の規模の組織になると、セキュリティ部門が「パスワードを入力させる際は必ずHTTPSにしなければならない」というルールを決めていたりするものです。通常はそのルールで問題ないのですが、ケータイサイトで、かつ携帯IDを取得しようとする場合には問題が出てきます。

end-to-endのHTTPSではキャリアのゲートウェイで通信内容を書き換えることができないため、携帯IDを付与することができません。つまり、HTTPSでは携帯IDを取得できないのです。携帯IDを取りたければ、いったんHTTPにリダイレクトしてIDを取得し、そこでセッションを開始してHTTPSに戻してやる必要があります。その場合は、一瞬だけHTTPSでない通信が発生することになります。

ルール上、絶対にHTTPSでなければならないとするならば、secure.softbank.ne.jpを使うしかありません。

単にルールだからと言う理由でHTTPSにこだわり、そのためにsecure.softbank.ne.jpを使うのだとすると、バランスが悪いと言わざるを得ないと思います。携帯IDに依存した認証を行っているサイトでHTTPSを使わないことにどんな危険があるのか、secure.softbank.ne.jpを使うことにどんな危険があるのか、これをきちんと考えて天秤にかける必要があるはずです。

もちろん、secure.softbank.ne.jpの問題点を把握した上でなければ正しい評価はできないでしょう。その意味でも、secure.softbank.ne.jpにどんな問題があったのか、今どんな問題があるのか、という点が公式にアナウンスされることが望ましいのだろうとは思います。

• 「secure.softbank.ne.jp廃止できません!?」にコメントを書く

関連する話題: セキュリティ / モバイル / secure.softbank.ne.jp