携帯サイトへ容易にログインできるようにするための携帯版「かんたんログイン」に、なりすましにつながる恐れがある問題が見つかり、開発元が対応策を発表した。
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは3月5日、オープンソースのSNSソフト「OpenPNE」に脆弱性などの問題が見つかったとして情報を公開した。開発元のOpenPNEプロジェクトも同日付で対応策を発表し、SNSサイト運営者などへ対処を呼び掛けている。
OpenPNEには、携帯電話端末からサイトへアクセスした場合に、ユーザーがIDを入力しなくても、端末ID(固体識別番号)のみで自動的に認証できる「かんたんログイン」機能がある。問題はこの機能の実装方法に起因するもので、端末IDを不正に入手した第三者が正規ユーザーになりすましてログインし、内容を閲覧したり、改ざんしたりするほか、情報を漏えいさせてしまうなどの恐れがある。
OpenPNEプロジェクトによると、影響を受けるのはOpenPNE 1.6〜1.8、OpenPNE 2、OpenPNE 3で携帯電話版のかんたんログイン機能を有効にしている場合。また、OpenPNE 2.10と同3.0以降にはIPアドレス帯域制限機能が提供されているが、デフォルトではオフになっており、OpenPNE 2.13.2〜2.14.4には特定の操作でIPアドレス帯域制限機能が回避されてしまう脆弱性も存在する。
OpenPNEプロジェクトは、各バージョンごとにマイナーバージョンアップや修正パッチを公開して、適用を呼び掛けている。また、適用が難しい場合は「携帯版を使用しない」の設定にするなどの回避策を紹介している。
IPAとJPCERTコーディネーションセンターは、第三者がこの問題を悪用した場合に、サイトに登録されている携帯電話以外のさまざまなデバイスでなりすましができてしまう可能性が高いとして、注意を呼び掛けた。OpenPNEは携帯サイトを中心に利用されているとみられ、多くの携帯電話ユーザーがこの問題の危険にさらされていると、セキュリティ研究者などが以前から指摘していた。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.