docomoケータイのDNS Rebinding問題、全国紙で報道
2010年1月13日(水曜日)
docomoケータイのDNS Rebinding問題、全国紙で報道
公開: 2010年1月18日16時0分頃
docomoのJSケータイがDNS Rebindingで「かんたんログイン」を突破される話ですが、読売新聞で今になって報道されたそうで。
- 最新29機種ドコモ携帯、個人情報流出の恐れ (www.yomiuri.co.jp)
- ドコモ携帯、情報流出の恐れ…最新29機種 (www.yomiuri.co.jp)
スラッシュドットにも。
- ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 (slashdot.jp)
って、この見出しだとサイト側の「かんたんログイン」の仕組みに脆弱性があるように読めますが、実際に「脆弱」なのは携帯端末の側 (あるいはドコモのゲートウェイ側に) ですよね。端末側の問題と端末固有IDを使った認証との組み合わせで発生する問題で、どちらにも問題があるのでややこしいですが。
端末固有IDの問題としては、大きく以下の2つがあると思います。
- 端末固有IDの問題点 …… 複数のサイトに対して同一のIDを送出するため、スーパーCookieとして機能してしまう (プライバシー上の問題)。
- 端末固有IDを利用した「かんたんログイン」の問題点 …… 端末固有IDは複数のサイトに対して送出されるため、秘密情報とはならない。その端末固有IDのみを使用して認証しているため、他人の端末固有IDを詐称されると認証を突破されてしまう。詐称を防ぐ仕組みが必要。
多くのサイトは、アクセス元のIPアドレスがキャリアのものかどうかを確認することで詐称を防いでいます。それで確実に防げるのか、IPアドレスの情報自体が詐称されないか、といった問題点も議論されてきましたが、いちおうはこの方法が標準になっているものと思います。
そして端末側のDNS Rebindingの問題ですが、これは簡単に言うと「正規のサイトを攻撃者のドメインであるかのように誤認させる」という攻撃です。端末は「攻撃者のドメインにアクセスしているつもりで、実は正規サイトにアクセスしている」という状態になります。正規サイトのドメインのつもりが実は攻撃者のサイトだった……となると大変で、正規サイトのCookieを読み出されてしまいますが、この場合は逆なので、できることはそれなりに制限されています。攻撃者の発行したCookieを正規サイトに送出することはできても、その逆はできません。ですから普通、DNS Rebindingでは認証がかけられていないコンテンツしか読み取れません。主にlocalhostや、プライベートアドレス上のデータを読み取るような攻撃が考えられます。
……なのですが、これが「かんたんログイン」の問題点と組み合わさると、突如として猛威をふるいます。端末固有IDは、攻撃者のサイトにも正規サイトにも同じものが送られるわけですから、攻撃者のドメイン向けに送ったつもりのIDが正規サイトに送られると、それで認証を通ってしまうわけですね。
※ちなみに、あえてアプリケーション側で対策するのであれば Host: をチェックするということになりますが、HTTP/1.0 では Host: が必須ではないので、HTTP/1.0 でアクセスしてきた場合にコンテンツが表示できなくなる可能性があります。が、docomoに限って言えば Host: は必ず送られてくるらしいので、ひとまずはこの対策で問題ないようですね。
- 「docomoケータイのDNS Rebinding問題、全国紙で報道」へのコメント (36件)
関連する話題: セキュリティ
- 前(古い): がんばれ! 消えるな!! 色素薄子さん 1
- 次(新しい): がんばれ! 消えるな!! 色素薄子さん 2
