ヤマト運輸は25日、同社が提供する携帯版「クロネコメンバーズのWebサービス」で、一部のスマートフォンから特定のアプリケーションを利用して「クイックログイン機能」を利用すると、本人とは別のユーザーでログインできてしまう問題があったことを明らかにした。
今月12日に外部からの通報で発覚し、同社は19日に同機能を一時停止。パスワード入力が必須となるようシステムを改修し、25日より同機能の提供を再開した。同社の調査では、1名のユーザーが2名のユーザーからログインされたことが確認されたという。
■携帯サイトのクイックログイン~「個体識別番号」でユーザー識別
同社の携帯サイトで提供されていたクイックログイン機能は、ID/パスワードを入力することなく、ボタンを押すだけでログインできる機能で、サイトによっては「かんたんログイン」とも呼ばれている。パソコン向けのサイトで提供される同種の機能は、WebサイトがユーザーのパソコンにCookie(クッキー)と呼ばれる情報を持たせ(Webサイト-ブラウザ間で自動的に行われる)、この情報を使ってユーザーを識別する。これに対し、携帯サイトでは携帯電話端末が持つ個体識別番号(サブスクライバーID、契約者固有ID、端末IDなどとも)を利用して識別しようとするところが多く、同社の携帯サイトの機能もこれを利用したものだった。
個体識別番号は、端末ごとに異なるものが固定的に割り当てられており、携帯電話端末側では通常、勝手に変更することができないようになっている。ところが、自由度の高いパソコンやスマートフォンでは、携帯電話端末のふりをして任意の個体識別番号を送ることができてしまうため、携帯サイトではそのようなアクセスを排除し、携帯電話端末からのアクセスのみに制限する仕組みも用意しなければならない。ところが、同社の携帯サイトではそのようなアクセス制御は行っておらず、パソコンやスマートフォンからでも自由にアクセスできるようになっていた。
この問題に遭遇した発見者のブログによると、今月6日、iPhoneのSBrowserを使って同サイトにアクセスし、「クイックログイン」というボタンをたまたま押してみたところ、見知らぬ他人のIDが出てきてしまい、IDやパスワードの入力を求められることなく、メールアドレスや名前、電話番号、住所などが閲覧できてしまったという。
■「SBrowser」でアクセス~異なる個体識別番号を自動生成
SBrowserは、携帯サイトの開発者がサイトのテストに使うことを想定して作られたブラウザで、ソフトバンク携帯のふりをしてWebサイトにアクセスすることができる。これを使うと、iPhone搭載のブラウザ「Safari」では閲覧できなかった携帯サイトの一部が閲覧できるようになるため、便利なブラウザとして利用する一般のユーザーも多い。
SBrowserでは、ボタンを押すごとに異なる個体識別番号を自動生成する仕組みになっていたが、異なるユーザー間で同じものを設定してしまったため、今回のサイトの問題が露呈した。発見者が「クイックログイン」ボタンを押した時には、すでに別のユーザーが同じ個体識別番号で登録済みだったため、そのユーザーとしてログインしてしまったのだ。
(2010/10/27 ネットセキュリティニュース)
【関連URL】
・携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について(ヤマト運輸)
http://www.kuronekoyamato.co.jp/info/info_101025.html
【関連記事:ネットセキュリティニュース】
・相次ぐホームページからの個人情報流出~7月以降、8件が明らかに(2010/10/15)