Yahoo!ケータイはスクリプト無効を推奨、PCサイトブラウザも
2010年5月28日(金曜日)
Yahoo!ケータイはスクリプト無効を推奨、PCサイトブラウザも
公開: 2010年6月6日22時10分頃
ソフトバンクからこんな案内が出ていますね……「ブラウザのスクリプト設定について (mb.softbank.jp)」。
弊社携帯電話の下記の機種にて、Yahoo!ケータイまたはPCサイトブラウザご使用時の設定の一つであるスクリプト設定(JavaScript) を有効にした状態で悪意あるサイトを閲覧した場合に、情報の詐取が生じる可能性があることが確認されました。
お客さまにおかれましては、安全の為、携帯電話のスクリプト設定をOFFに変更していただけますようお願い申し上げます。
スクリプトを無効にするように指導されています。無効化の方法も案内されていますね。
スクリプト設定の変更は下記をご参照ください。
■Yahoo!ケータイの場合
「Yahoo!ケータイ設定」→「セキュリティ設定」→「スクリプト設定」
■PCサイトブラウザの場合
「PCサイトブラウザ」→「PCサイトブラウザ設定」→「セキュリティ設定」→「スクリプト設定」
基本的には徳丸さんが公表されたXMLHttpRequestの脆弱性への対応なのではないかと推察しますが、注意深く見ると2点ほど気になる点があります。
Ajax無効ではなくスクリプト無効
徳丸さんが公表された内容では、攻撃にXMLHttpRequestが必要です。DNS Rebinding自体はJavaScriptとiframeでも可能ですが、iframeを使う方法では攻撃者がHost:の値を変更することができません。ですから、Ajaxだけが問題となります。
私が知る範囲では、XMLHttpRequestに対応したソフトバンク端末には、スクリプトの設定の他に「Ajax」という設定があり、XMLHttpRequestだけを無効にすることができます。JavaScriptを無効にする必要はなく、Ajaxを無効にするだけで問題を回避できるはずです。
にもかかわらず、ソフトバンクからの案内はAjax無効ではなく、スクリプト無効となっています。さらに注意深くリストを見ると、Ajaxに対応していない端末も含まれています (たとえば811SH)。
PCサイトブラウザのスクリプトも無効
ケータイのブラウザだけでなく、PCサイトブラウザ (いわゆるフルブラウザ) のスクリプトも無効にするように案内されています。
DNS Rebindingの問題を受けるのは、契約者固有番号による、いわゆる「かんたんログイン」を実装しているサイトです。通常のPCサイトはCookieを使っていますので、攻撃者のドメインでDNS Rebindingが行われても、認証を突破することができません。つまり、ほとんどのPCサイトはDNS Rebindingの攻撃の影響を受けません。
にもかかわらず、ソフトバンクからの案内ではPCサイトブラウザのスクリプトも無効にするように指導されています。
なぜAjax無効ではなくスクリプト無効なのか、どうしてPCサイトも対象なのか……。
前者については、DNS Rebindingへの対応ができていない (Host:を改変しなくても攻略できてしまう) サイトに配慮したと考えることもできそうです。ただし、それだけでは後者の説明がつきません。まだ隠し玉がある (twitter.com)のかもしれない、という推測も成り立ちますね。
※そのうち追記するかも。
- 「Yahoo!ケータイはスクリプト無効を推奨、PCサイトブラウザも」にコメントを書く
関連する話題: セキュリティ / モバイル / secure.softbank.ne.jp
