ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 44
ストーリー by hylom
数年前から指摘されているのにアホかと 部門より
数年前から指摘されているのにアホかと 部門より
774THz 曰く、
やや古い話になるが、ドコモ携帯の携帯固有IDのみを用いたWebサイト認証の脆弱性がHASHコンサルティングより報告されている(情報公開日は昨年11月24日)。この問題は、数年前からセキュリティ研究家の高木浩光氏が指摘していたものだ(「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者」、「ケータイWebはどうなるべきか」)。
この問題は読売新聞でも取り上げられている(「最新29機種ドコモ携帯、個人情報流出の恐れ」)
専門家では無いのでややセンセーショナルな読売の記事見出しが適切かどうかは判断が付きかねる。技術的な詳細に関しては専門の方々の解説を求む。
(追記@16:08)今回発覚した問題と、高木氏が指摘していた問題はどちらも固有IDを悪用するという点は共通しているものの、異なるものだという指摘をいただきました(#1702037)。高木氏が指摘していたのは、携帯電話ネットワーク側のゲートウェイIPアドレスを用いてアクセス制限を行っているサイトに対しPCから攻撃を行える可能性がある、という問題で、今回の問題はDNSキャッシュ汚染を利用することで携帯電話からアクセスしてきたユーザーの情報を悪意のあるサイトが詐取できる、というものです。ご指摘ありがとうございました。
簡単=危険 (スコア:3, おもしろおかしい)
Re:簡単=危険 (スコア:1)
ただ、便利な機能として、導入したくなるのも分かります。
やはりこの辺はトレードオフなのでしょうね。
そういえば、OpenIDとかスカイゲートって携帯対応していましたっけ?
Re: (スコア:0)
そういうのを思考停止と言う。
なすべきことは、便利でかつ安全なものを作ること。
それを怠っているのが悪い。
Re: (スコア:0)
ドコモは何が問題であるかすら理解してないの? (スコア:2, すばらしい洞察)
> 「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」
あの、ジャバスクリプトを利用するのは悪意あるサイトの方なんですけど。
Re:ドコモは何が問題であるかすら理解してないの? (スコア:1)
「悪用厳禁」的な何かです。
読売新聞が (スコア:1, 参考になる)
> 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。
記事中の「利用者の携帯のジャバスクリプトを使って」というのは、JavaScriptがクライアントで動作することを踏まえても、所有格でつなげるのは違和感を感じます。これでは利用者と携帯端末に問題があるように読めてしまう。おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。
問題があるのは、携帯電話の固有IDを送るドコモの仕様と悪意あるサイトに置かれたスクリプトなのだから
「悪意ある携帯用サイトに置かれたジャバスクリプトは、接続してきた利用者が意図しない形で、利用者が会員になっている別のサイトに接続させることができる。」 とすべきではないか?
Re: (スコア:0)
> おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。
ああ、今回のDNS Rebinding問題とは無関係に一般的なXSS対策の話とかをドコモがしたところだけ切り貼りしてくれば確かにありえますね。
ちょっとドコモに好意的すぎる気もするけど読売新聞のレヴェルを考えるとそれも十分あり得るなあ。
Re: 部門名 (スコア:2, 参考になる)
数年前から指摘されている問題とは異なりますよ。
高木氏がこれまで指摘してきたのは、(1)固有IDが全サイトに常時送信されることによる個人の行動との紐づけ、(2)固有IDをログイン情報代わりにする場合に、キャリアのゲートウェイのIPアドレスのリストを常時更新し続けなければPC等から偽装して送信可能であるという問題、についてです。
(1)は置いておいて、(2)についてはサイト運営者がキャリアのGWのIPアドレスを常時きちんと更新できていれば(できるのか?)問題は発生しないはずだったのですが、今回のはJavaScriptとDNS rebindingを組み合わせることで携帯電話だけを用いて攻撃が可能になる、という点が大きく異なります。
今回の手法は、携帯電話に偽のDNS情報を返すことで、正規サイト内のコンテンツを罠サイトのドメイン内の一部とみなしてJSからアクセスするというものです。
Re: 部門名 (スコア:3, 参考になる)
技術解説の物書き仕事をする場合、編集者のお陰で細かい間違いをせずに済むことが非常に多いです.
しかし、時には技術的な内容の分かる編集者が気をきかせてくれたはずの校正でかえって技術的な正確さが損なわれることもあるものです.(筆者の再校正が無い場合・再校正で編集者による修正を見落とした場合などは仕方無いですね)
Re: 部門名 (スコア:1)
すいません。てっきり高木氏の指摘(「IPアドレス帯域」をどうやって安全に更新するのか [takagi-hiromitsu.jp])を斜め読みして、DNSキャッシュ汚染の指摘をしているものと勘違いしていました。ご指摘ありがとうございます。適切に修正します。
Re: 部門名 (スコア:3, 参考になる)
「DNSキャッシュ汚染」という言葉はまだ誤解を招くんじゃないかな。
今回の攻撃でポイントなのはアクセス先のWebサイト(およびそのDNSレコード)は攻撃側のものであるため、攻撃側が自由に変更可能である、という点です。
「DNSキャッシュ汚染」と言われると、Webサイト管理者やDNSキャッシュサーバ管理者以外の第三者からの攻撃のように見える。この誤解を避けるため、紹介記事などでは poisoning と書かず rebinding と記述されているものと思います。
Re: (スコア:0)
Re: (スコア:0)
日本語大丈夫?
Re: 部門名 (スコア:2)
追記部分に以下のように書かれてますから読んでおいてくださいね。
> 今回の問題はDNSキャッシュ汚染を利用することで携帯電話からアクセスしてきた
> ユーザーの情報を悪意のあるサイトが搾取できる、というものです。
Re: (スコア:0)
キャッシュ汚染とは全く別物の攻撃。
Re: (スコア:0)
その勘違いを今でも垂れ流しているわけだが。
本当に
> もうhylomの中では終わった話題なのでこれ以上何を言っても無駄ですよ。
って感じだな。
クビに出来ないの?
Re: (スコア:0)
Re: (スコア:0)
まあ、貰ってる金は違うかなw
Re: (スコア:0)
タダでやってるんだから、記事のクオリティなんか
どうだって文句言われる筋合いじゃないわな。
おっしゃるとおり。
かんたんIDというのはユーザIDなんだから (スコア:1)
かんたんIDというのはあくまで端末からの自己申告によるユーザIDなんだからユーザIDとしての扱いをすれば済む話だと思うんだけどな。逆にそのような前提での使い方をするなら便利なもの。要は使いようだよね。
たとえばこんな使い方なら問題ないのではないだろうか。
1)ユーザがログインページにアクセス
2)クッキーによるセッション確認が出来ない
3)かんたんIDによる確認画面へ
4)登録済みの携帯メールアドレスにワンタイムURLを送信
5)ワンタイムURL経由でセッション開始
屍体メモ [windy.cx]
Re:かんたんIDというのはユーザIDなんだから (スコア:1)
私が許しても、一般人が許さないでしょう。普通の人(+ウェブサイト発注者)はセキュリティより利便性重視でしょうし。
もうCookie使えない端末はご遠慮ください。にするのが一番さ。とりあえず、SBとAUはOKぽいし。最大手のドコモのダメさはなんなんでしょう。
Cookie使えない端末用なのでは? (スコア:1)
本来かんたんIDというものは
Cookieが使えない端末のためのものでは?
そういう端末の利便性が犠牲になるのはしかたないかと。
セキュリティと利便性はやはりトレードオフになる
部分が出てきて仕方ないと思います。
そりゃ両立できるに越した事ないけど。
屍体メモ [windy.cx]
Re: (スコア:0)
Re: (スコア:0)
2.0はJavaScriptが使えるのでこの問題が出てきたわけですがね。。。
#JavaScriptによるアクセスは端末固有ID送信しないようにすれば解決しないかね
ガラパゴス島に黒船来航 (スコア:1, 興味深い)
高木氏の言うように、携帯サイト向けのセキュリティがあまいのは、携帯がCookieにも対応してなかったのが大きいと思う。Cookieさえあれば、固有IDなんてものに依存しなくてよかっただろうし。それでも、簡単に利用できる固有ID使ってたかもね・・・
とりあえず、携帯サイトとか関係なく、全部1つのウェブとしてセキュリティも構築しないと。
島の外に進出したら即死でござるの巻 (スコア:3, すばらしい洞察)
(ガラパゴス諸島で育った動物が)
「島の外に進出したら即死でござる。」
という感じでは?
Re:ガラパゴス島に黒船来航 (スコア:1)
Re: (スコア:0)
typo (スコア:1)
DNSキャッシュ汚染を利用することで携帯電話からアクセスしてきたユーザーの情報を悪意のあるサイトが搾取できる
ユーザ情報を搾り取るの?詐って取る=詐取の間違い?
#まさかマル経用語でもあるまい。
Re: (スコア:0)
Re:typo (スコア:1, オフトピック)
ありがとうございます。修正しました。
ん? (スコア:0)
Re:ん? (スコア:2, 参考になる)
自分のサイトにアクセスさせ、自分のサイトのDNSを攻撃先のIPアドレスに向け、そのまま自分のサイトにアクセス(javascriptを利用しアクセス指示)したことは、攻撃先にアクセスしたことになり、そこでのやりとりを盗み出す、ってこと。
なぜ今更ネタになるのか (スコア:0)
対策はホボこの一点に集中しているのでは。
つまり、default hostで運用するなって事かと。
Re: (スコア:0)
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス
http://124.83.147.204/ [124.83.147.204]
でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
Re: (スコア:0, おもしろおかしい)
ついさっき常識になった。
>ヤフージャパンの http://www.yahoo.co.jp/ だって、数値IPアドレス
>http://124.83.147.204/
>でアクセスできますよね。
だからどうした。
>必要がなければ制限しないのはごく普通のことでは?
セキュリティ責任者でそんな事いったら異常者扱いされる。
Re:なぜ今更ネタになるのか (スコア:1, 参考になる)
だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。
Re: (スコア:0)
「脆弱性が発見された場合にそれを容易に改善できない」仕組みを採用したことが諸悪の根源です。
別に新しい仕組みを考えること自体は悪くないと思いますよ。
iモードIDも、「適切に運用」できればこんなに便利な技術はないです。
もっともこの実装じゃ、たとえ私に運用を任されても、適切に運用できそうにありませんが…。(笑
もっと根を探るなら、日本人がよく陥る「この仕組みは完璧ですか?」「完璧ですよ!」論こそ悪かなと。
世の中にはそんなもの存在しないのにねぇ。
かたや某宇宙のかなたではあの限られた環境で「こんなこともあろうかと」が連発するというのに。
比べるのが間違いなのはわかるけど、少し爪の垢を煎じて飲んだほうがいいですよ!
Re: (スコア:0)
お前の中では(ry
Re: (スコア:0)
あのね、今更 JavaScript とかかんたん認証にからめて騒いでいる人が多いかも知れないけれど、他人のドメイン名が勝手に自分のサーバーに向いていたらどうしようかっていうのはもう何万回も議論されているネタなの。
ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
Re: (スコア:0)
#1702096
>つまり、default hostで運用するなって事かと。
#1702691
>ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
言ってること全然違うね。
Re: (スコア:0)
べつに何も問題ないですね。
ええー?アホな。