水無月ばけらのえび日記

欠陥の例

• サイボウズOffice (JVN#87730223 (jvn.jp))
• OpenPNE JVN#06874657 (jvn.jp))
• はてな、日経就職ナビ、などなど……

これらは、そもそもIPアドレスの制限をしていなかった (DNS Rebinding以前の問題)

OpenPNE2.14の事例

• 携帯キャリアのIPアドレスをプログラム中にハードコード
• 対応キャリア: docomo、au、softbankに加えて EMnet (EMobile)
• IPアドレス制限の処理、ログイン判定に使用するとID抽出の処理は、別々のモジュールで行われていた

攻撃シナリオ …… EMnetで接続し、他社のケータイIDを送信すると突破される。

誰の脆弱性なのか?

この問題は誰の責任なのか?

従って、Webサイト側の脆弱性ということになる (いわざるをえない)。

無責任な解説の蔓延

• ケータイIDによる認証の方法には公式な解説がない
• 一方、素人のずさんな解説が蔓延している
• 典型的な解説 …… アクセス制限は .htaccess で処理、ただし ENnet や Googlebot などは通す。アプリでID取得

EMnetだけの問題ではない

Softbankにも同様の問題

• 2009年夏にblog界隈でささやかれていた話
• 海外製端末向けAPNにダイヤルアップし、Proxyサーバを経由するとSoftbank携帯のIPアドレスになる
• X-JPhone-UIDを削除した上で本物を付与する (なりすまし不可)
• それ以外のヘッダには関与しない
• User-Agentの中の端末シリアル番号は書き換えないため、なりすまし可能 (そもそも書き換え困難。端末シリアル番号を含む User-Agent の書式は仕様はBNFで定義されているでもなく、いかにも日本人的な「何となく」のものでしかない)
• ただし、User-Agentが所定のもの以外ならアクセスが拒否される。Softbank以外のUAを拒否しているものと思われる

User-Agentの判定を突破

• 後ろにつけた文字列は無視される。例: User-Agent: Softbank...KDDI-
• アプリのロジックによっては突破され得る
• CGI RESCUEの「会員制携帯サイト簡単ログイン」がこの手法で突破可能だった

誰の責任?

• これはWebアプリ側の脆弱性なのか?
• キャリアは公式情報を公表していない
• 何をどこまですればよいのか不明。X-JPHONE_UIDが通るとか……きりがない。

IPアドレス別のキャリア判別なら安全?

• キャリアから正式に公表されているわけではない
• 公式サイト向けにはある?「当該ケータイIDを使用する際には当IPアドレスから……」という記述があるのではないかと想像
• キャリアは他キャリアのことは考慮してくれない。3キャリア連携の都合などは知ったことではない

SSL接続で出たID

• end-to-endのSSL接続で送信された任意のIDはそのまま届く (Softbank, EMnet)
• https: の機能を提供していないつもりでも、稼働している場合があるので注意

不確実なIPアドレス制限

キャリアが出している「IPアドレス帯域」の情報

• https:での取得が出来ない
• 機械的に処理できないカタチでの提供
• 保証しない(あくまでも目安)という宣言

• 誰も信頼あるシステムを構築しようとしない
• Google日本法人もblogで公表する体たらく
• サイボウズOfficeはさじを投げた (「お客様で制限してください」と注意喚起する以上のことはできない)

SSL必須前提では使えない

割り込んだ攻撃者は任意のIDを送信できる

端末付与型のリスク

• EZ番号は end-to-end で送られる (ゲートウェイが付加しているのではなく、端末が送信している)
• 端末が jail break されたらなりすましのおそれ

無責任なキャリア

• 公式情報を公表していない
• しかもdocomoは「iモードID」の使用を推奨している

Cookieで実装せよ

• 無期限のCookieを使えばよい
• ケータイのCookie普及率……クッキー食えないのはdocomoだけ (takagi-hiromitsu.jp)

そもそもUIが変

• かんたんログインボタン、ログアウト機能……?
• utn送信時の「はい/いいえ」に配慮?

「かんたんログイン」言うなキャンペーン

• 「かんたんログイン」という言葉を発注者の目に触れないようにする
• 駄目な理由を長く説明する……orz
• 「でもやっぱかんたんログインだよねー」「あれ作った人マジ神」 (twitter.com)

パスワードを登録しないサイト

• ワンタイム課金なら問題ない
• SNSなどはキャリア乗り換えの問題があるのでパスワードが必要なはず。ケータイID認証で徹底したとしても、どこかにパスワード入力画面がある (一番最初に登録していることが多い)
• ケータイだから弱いパスワード使う、というのは利用者の責任

docomoをどうする?

• 基本的にはCookieで実装
• iモード1.0の場合のみiモードIDで実装

ヤマダ電機

• 一人1回を実現するため?
• 国民ID的な利用
• 国民ケータイ総背番号制
• 国民IDが出来てもポイントカードでの利用は認められないだろう
• 使用が広がると戻れなくなる

一般インターネットへの波及

• 青少年保護を理由に進むケータイ独自世界の展開
• こんな発言も……「ISPはウェブ側に認証情報を提供してほしい。 (twitter.com)」

ケータイIDがなくなると困る?

IPアドレスをころころ変える荒らし

• ISPは対応してくれる
• ケータイキャリアは通信の秘密を盾に拒否?

何を取るかの問題?

• プライバシーを取るか、安全・安心を取るか……という二者択一なのか?
• 両立できないのか?
• 法務系の人々……IDやCookieのことが分かっていない

docomo ID

• Open ID なのに、iモードIDが取れる
• ボイコットしましょう
• 「iモードIDは取得していません」バナー (takagi-hiromitsu.jp)