今回のヤマト運輸の事故は意図せず起きてしまったものだが、同様の脆弱性をもつ携帯サイトでは、個体識別番号を悪用した不正ログインの危険が常に付きまとう。グローバルセキュリティエキスパートのタイガーチームサービス事業部が、今年8月~9にかけて行った調査によると、この問題を抱えている携帯サイトは、ヤマト運輸ばかりではないようだ。
■危険が潜む個体識別番号
この調査は、無作為に選んだ国内企業101社のうち、携帯サイトを運営している67社・136個のURLを対象に、「かんたんログイン機能」の実装状況とアクセス制御状況を調べたものである。
136個のURLのうち47個(34.6%)は、一般回線経由のパソコンから直接アクセスすることができ、27個(19.9%)は携帯電話端末のふりをするとアクセス可能になったという。認証機能のあるところは61個あり、うち9個がかんたんログイン機能を提供。同機能のうち5個は、携帯電話端末以外からも利用できる危険な状態だった。
MM総研がまとめた今年度上期の「国内携帯電話端末出荷概況」によると、総出荷台数は前年同期比12.3%増の1913万台。うち11.7%の223万台をスマートフォンが占めており、上半期だけで昨年度1年間の出荷台数234万台に迫る勢いだ。
スマートフォンの存在は、個体識別番号に頼る「かんたんログイン/クイックログイン」のために排除できるような規模では、もはやなくなっている。排除すべきは、セキュリティ上の問題ばかりか、プライバシー上の問題も指摘されている個体識別番号の方であり、携帯サイトも本来のCookieを使った制御への移行が望まれる。
(2010/10/27 ネットセキュリティニュース)
【関連URL】
・かんたんログイン機能の実装状況に関する調査結果[PDF](グローバルセキュリティエキスパート)
http://www.gsx.co.jp/tts/activity/101006.pdf
・2010年度上期国内携帯電話端末出荷概況(MM総研)
http://www.m2ri.jp/newsreleases/main.php?id=010120101026500