Webアプリケーションに対する攻撃の6〜7割は「ケータイサイト」にも通用する（1/2 ページ）

[高橋睦美，ITmedia]

　「携帯向けのサイトもWebアプリケーションの一種。PC向けのWebアプリケーションに存在するセキュリティ問題の大半は、携帯向けサイトにも同じように存在する。だが、このことはPCの世界以上に認識されていない」――京セラコミュニケーションシステム（KCCS）の徳丸浩氏（ITソリューション事業本部商品開発事業部副事業部長）はこのように警鐘を鳴らす。

　同社は2005年2月より、サイバードと共同で、携帯電話向けWebサイトに存在する脆弱性をチェックする「携帯電話向けWebサイト脆弱性診断サービス」を開始した。専用診断ツールや専門家によるマニュアルの検査、ソースコードの診断を通じてWebサイトの脆弱性を検査するサービスで、検査結果に基づく対策のコンサルテーションや開発者向け教育サービスといったメニューも用意されている。

　携帯向けサイトのセキュリティに何らかの不安を抱きながら、具体的に何が問題で、どうすればいいかも分からないという顧客を中心に反響は大きい。「特に、個人情報保護法の全面施行を前に、危機感を持っている企業の場合は反応が早い」（徳丸氏）という。

　そして現実に、携帯向けサイトの多くに脆弱性が存在しているという。実際にサービスを開始し、何社かで検査を行ってみたところ「やはり（携帯サイトに）問題は存在すると言わざるを得ない。幸か不幸か、セキュリティレポートのネタには不自由しない状況だ」（徳丸氏）。

Webアプリ向け攻撃の6〜7割は有効

　「多くの企業ではファイアウォールやVPN、アンチウイルスソフトなどの導入は進んでいる。しかし『ツールを入れれば解決』とならないのがWebアプリケーションのセキュリティだ」（徳丸氏）。

　徳丸氏は、そもそもPC向けのWebサイト／Webアプリケーションのセキュリティ対策自体が遅れているという。最近でこそ、クロスサイトスクリプティングやSQLインジェクションといった問題点が指摘されるようになったが、それ以外のWebアプリケーションの脆弱性まではあまり知られていないし、対策も十分とはいえないのが実態だ。

　背景には、システム開発の現場における構造的問題もあるのではないかという。それほど経験のない新米プログラマがコーディング作業に携わる結果、要求仕様や性能を満たすのに精一杯で、セキュリティにまでは手が回らない状況も多いのではないか、というわけだ。

Webアプリケーションのセキュリティ対策は遅れている。ましてや携帯サイトはまだまだ、と述べた徳丸氏

　PC向けのWebアプリケーションですらこういう状況なのだから、携帯向けWebサイトとなると、問題はさらに深刻という。

　残念ながら「PC向けWebアプリケーションに対する攻撃の6〜7割は携帯サイトにも通用する」（徳丸氏）。

　PCサイトと共通な脆弱性の1つに、親ディレクトリをたどって任意のコードを実行させる「ディレクトリトラバーサル」がある。Webサイトの表示やサーバ内のファイルを改ざんされたり、悪くすればサーバ内に保存した個人情報などの重要なデータを外部に送信される可能性もあるのだが、これは携帯向けサイトでも同じように悪用が可能だ。

　携帯キャリアのゲートウェイ経由でアクセスする「公式コンテンツ」もそうだが、それ以外のいわゆる「勝手サイト」の場合、PCからアクセスできる可能性がある。つまり、PCえソースを見て攻撃を仕掛けられる恐れもあるため、危険性はさらに高まる。にもかかわらず、「ケータイサイト」のセキュリティ問題に対する認識は低いのが実情だ。

ケータイならではの問題も

　他に、「ケータイならば大丈夫」という思い込みに起因する問題も存在する。

　たとえば、PCの世界では、URLにユーザーIDなどのパラメータを入れ込んでセッション管理を行うという手法は「禁じ手」だ。この部分を変更するだけで、容易に他人の情報を盗み見ることができるからだ。

　しかし携帯の世界では「『どうせURLは表示されないのだから』と思って安心して、パラメータの中にユーザーIDを入れ込んで使っているケースもある。だが、やり方によってはこうしたURLを見ることは可能で、悪用されるおそれもある」（徳丸氏）。

　JavaScriptにしても同様だ。「携帯端末ではスクリプトは利用できないからクロスサイトスクリプティングは不可能だ」という思い込みがあるが、実際には同種の攻撃が可能だという。

　「こうした問題は、PC向けのWebアプリケーションと同じように注意を払い、入力文字のチェックやサニタイジングといった処理を行っていれば避けられること」（徳丸氏）。しかし携帯向けサイトの場合、こうした部分が見落とされているか、気づいても手抜きされている可能性があるという。

　さらに、携帯のインフラに起因する問題もある。アクセス集中時の排他制御に問題があり、他人の個人情報が見えてしまうという問題は、PC向けWebアプリケーションの世界にも存在した。そして、キャンペーンなどで一時に大量のアクセスが集中しがちな携帯サイトでは「この問題がより起こりやすくなる」（同氏）という。