Webアプリケーションに対する攻撃の6〜7割は「ケータイサイト」にも通用する（2/2 ページ）

[高橋睦美，ITmedia]

　そのうえ、多様な端末が販売され、キャリアごとに認証などの方式が異なるため、「特定の端末では、認証の仕組みを取り違えて情報が漏えいしてしまうケースもある」（徳丸氏）。組み合わせによっては、見えてはならないものが見えてしまうというわけだ。それではと、事前に検証を行おうにも、ベンダーや世代ごとにさまざまな端末が投入されていることを踏まえると、テストひとつにしても大きな手間がかかる。

　携帯端末は画面が小さく、URLが表示されないことから、フィッシング詐欺に悪用される可能性もある。しかし「フィッシングへの対策は難しい」と徳丸氏。ユーザー自身が注意し、怪しいものを見分ける『カン』を働かせることが重要だが、「コンシューマーが気を付けるといっても限界がある。運営者側がしっかりしたものを提供するのが義務だと思う」とも言う。

　確かにサイト構築の現場の状況は厳しい。PC向けサイトの片手間程度に携帯向けサイトが作られる、というケースもあるという。徳丸氏は、自身もプログラムを書く経験があるだけに、限られた納期とリソースの中で、セキュリティに配慮したコーディングを行うのが面倒なのもわかるとしながらも、やはりPCと同等の注意を払うことが必要だとした。

まず問題の「認識」を

　何よりの課題は、携帯サイトのセキュリティ問題を修正する以前に、まず問題の存在自体を認識し、確認してもらうことだという。

　KCCSとサイバードが提供するサービスはそのためのものだ。「手とツールの両方で携帯向けWebアプリケーションの脆弱性を見つけ出し、レポートを提供する。結果は、ツールが出力したレポートをそのまま渡すのではなく、報告会を実施し、優先的に修正すべき事項をまとめた資料も加えて提出する」（徳丸氏）。たとえば、同じクロスサイトスクリプティングの脆弱性でも、サイトの構造によって危険性は異なる。そういった部分に踏み込んで検証を行い、修正方法をアドバイスするという。

　問題の中には、「InterDo」など、PC向けのWebアプリケーションファイアウォールで対応できるものもある。ただ、こうしたツールだけですべてに対処できるわけではない。その場合は「コードを修正するしかない」という。

　また業界団体では、携帯向けサイト全般の品質向上を図る取り組みの中に「セキュリティ」を含めていくことも検討しているという。

　「せっかく日本が先を行き、ケータイコンテンツの人気が高まっているのに、これがセキュリティ問題に対する懸念で使われなくなり、縮んでしまうのはさみしいこと。携帯の世界を便利にするとともに、セキュリティの面でもきちんと守っていくことがわれわれの務めだ」（徳丸氏）。