WASForum Conference 2008: 携帯電話向けWebのセキュリティ
2008年7月5日(土曜日)
WASForum Conference 2008: 携帯電話向けWebのセキュリティ
「SQLインジェクション対策再考」に続いては「携帯電話向けWebのセキュリティ」。GREEの藤本さんによるお話です。
自転車とGREEについて
- 自転車はGIANTがオススメ
- GREEは2006年11月に携帯にシフト、携帯からのアクセスがぐんぐん増加
携帯の諸々
- Referer来ないかもしれない。auとSoftbankはおおむね来る。来ないなら来ないで統一されていれば良いものを……
- Cookieは、au来ます、Softbankは来ないかも。
Referer漏洩問題について
- そもそも他サイトにリンクしないこと。ドコモ公式では必須
- 端末不具合によって、何故かメールから叩いたURLに前のサイトのRefererが出ることが……
- セッション格納情報でチェックする? UA……Referer漏洩時点でばれている。端末固有情報?
- SIDを変えまくるという対策だと、戻ると死んだりする
- ユーザがGREEにGREEのURLを貼ることは多い (URLにはセッション追跡情報がついている)。GREEではURLをパースしてがんばっている
- 携帯ではHTMLソースは読めない? →スマートフォン経由だと読める場合があるので油断してはならない
携帯ネットワークの特徴
- 位置情報が取れる
- 課金システム
- IPアドレス帯域が固定(重要、絶対チェックした方が良い)
端末固有IDの偽装は可能か?
- 今のところ難しいようだ。ただしIPアドレス確認が必須。Softbankスマートフォン+iモードiDなどのパターンに注意
- ARP Spoofingのような手法による IP Spoofing はどうか?
- キャリアによって100%保証されているわけでもない
端末固有情報は一意?
- iモードIDは再使用されないことになっているのでユニーク
- 他の端末はどうだろう……
- メールアドレスの場合、別のユーザに再取得され得る
- SIMカードを入れ替えると別のUAからその端末情報が送られてくることがある
常識が通用しない
- パスワードは adgjmp 123456 などがほとんど
- ソーシャルハックにはとても脆弱
- 携帯の貸し借り、SIMカード貸し借り、簡単にパスワード教えたり……
凄いユーザがいる
- 総当たりフォースフルブラウジングとか普通に来る
- 8桁とかでも破られる。たとえば、着うたダウンロードのURL末尾が 1.mmf?dfX38fJu だった場合、8桁をひたすらブルートフォースでアクセスしてくるユーザがいる
質問
- 携帯キャリアのIPアドレス範囲のチェックはどうしているか?
- アンテナでキャリアのサイトをチェックしたりして頑張っている
- 逆引きするのはどうか?
- それは良いかもしれない
感想
質疑応答の「逆引きで見る」という話は瞬間的に「ヤバイかも」と思いましたが、高木さんが「そのDNSが安全かどうかという問題がありますが」とナイスフォロー。逆引きで判断する場合、PTRの値はそもそも信用できないのでパラノイド検査が必須になりますが、それでも大丈夫かどうかは怪しい感じがしますね。
※ちなみにパラノイド検査というのは、逆引きで得られた名前をさらに正引きして、元のIPアドレスと一致するか確認すること。
パスワードの話は興味深いですね。携帯端末からパスワードを入力するのはしんどいので、入力しやすいものをと考えると、どうしたって脆弱なものにしかなりません。普通に考えると、こまめにログアウトさせてパスワードを入れさせて……という方が安全そうですが、携帯サイトの世界では、パスワードに依存した認証は逆に危険なのかもしれません。
「OpenIDのセキュリティ」に続きます。
- 「WASForum Conference 2008: 携帯電話向けWebのセキュリティ」にコメントを書く
関連する話題: セキュリティ / 携帯電話 / WASForum Conference