水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ヤマト運輸、かんたんログインの脆弱性で個人情報が露出

ヤマト運輸、かんたんログインの脆弱性で個人情報が露出

2010年10月25日(月曜日)

ヤマト運輸、かんたんログインの脆弱性で個人情報が露出

公開: 2010年10月26日14時0分頃

ヤバイヤバイと言われ続けてきたケータイサイトの「かんたんログイン」機能ですが、個人情報漏洩の実例が出てしまったようで。

ちなみに読売の記事は当初「iPhoneで人の情報丸見え…閲覧ソフト原因」という見出しで、あたかもブラウザ側の問題であるかのような書きぶりでしたが、当然ながらサイト側の問題です。

サイト側では対応が済んでいて、「クイックログイン機能」を停止してパスワードの入力を必須にするという対応が実施されています。

以前、「ケータイの流儀を常識と思いこむのは危険」という話でも書きましたが、端末IDによる認証はIDを詐称されないという前提でギリギリ成立するものです。もし採用するなら絶対に詐称を許さないようにしなければなりません。その方法の一つがアクセス元のIPアドレスをキャリアのものに限定するというものです。

今回の話ではiPhoneからアクセスできたということですから、アクセス元を制限していなかった可能性が高そうです。発見の経緯については、発見者とおぼしき方本人が書かれた記事があります。

ソフトバンク端末の端末ID送出をエミュレートするソフトを使っていて、普通にアクセスしたらなぜか他人の情報が見えてしまったということのようで。困って高木さんに相談、高木さんからヤマト、IPA、読売新聞に連絡が行ったという経路らしいですね。

※ふつうにIPAへの届出のみだと、もっと時間がかかった上に詳細が公表されなかった可能性も高いような気がする今日この頃。

関連する話題: Web / セキュリティ / モバイル / Apple

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト