ヤマト運輸、かんたんログインの脆弱性で個人情報が露出
2010年10月25日(月曜日)
ヤマト運輸、かんたんログインの脆弱性で個人情報が露出
公開: 2010年10月26日14時0分頃
ヤバイヤバイと言われ続けてきたケータイサイトの「かんたんログイン」機能ですが、個人情報漏洩の実例が出てしまったようで。
- iPhoneで他人の情報…携帯ID認証に穴 (www.yomiuri.co.jp)
- クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 (www.itmedia.co.jp)
ちなみに読売の記事は当初「iPhoneで人の情報丸見え…閲覧ソフト原因」という見出しで、あたかもブラウザ側の問題であるかのような書きぶりでしたが、当然ながらサイト側の問題です。
サイト側では対応が済んでいて、「クイックログイン機能」を停止してパスワードの入力を必須にするという対応が実施されています。
- 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について (www.kuronekoyamato.co.jp)
以前、「ケータイの流儀を常識と思いこむのは危険」という話でも書きましたが、端末IDによる認証はIDを詐称されないという前提でギリギリ成立するものです。もし採用するなら絶対に詐称を許さないようにしなければなりません。その方法の一つがアクセス元のIPアドレスをキャリアのものに限定するというものです。
今回の話ではiPhoneからアクセスできたということですから、アクセス元を制限していなかった可能性が高そうです。発見の経緯については、発見者とおぼしき方本人が書かれた記事があります。
- YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。 (mobaphoto.blogspot.com)
- 補足 (mobaphoto.blogspot.com)
ソフトバンク端末の端末ID送出をエミュレートするソフトを使っていて、普通にアクセスしたらなぜか他人の情報が見えてしまったということのようで。困って高木さんに相談、高木さんからヤマト、IPA、読売新聞に連絡が行ったという経路らしいですね。
※ふつうにIPAへの届出のみだと、もっと時間がかかった上に詳細が公表されなかった可能性も高いような気がする今日この頃。
- 「ヤマト運輸、かんたんログインの脆弱性で個人情報が露出」にコメントを書く