SO503iの“iアプリバグ”の正体は？（2/2）

【国内記事】

2001年5月14日更新

iアプリのバージョンアップを行わなければ，問題なし

　では，どんな“条件下”で不正なアクセスができてしまうのか。

　iアプリには「バージョンアップ」というメニューが用意されており，「iアプリの削除」→「新バージョンのダウンロード」という手順を踏まなくても，簡単に最新のiアプリにバージョンアップすることができる。

　このバージョンアップを行った際に，スクラッチパッドサイズが増加した場合，予期しない領域にスクラッチパッドが割り当てられることがある，というのが今回のセキュリティホールだ。

　簡単にまとめると，下記のような流れをたどった場合に問題が起きる。

• 悪意を持って作られたiアプリをダウンロード
• そのiアプリをバージョンアップ
• 別のiアプリのスクラッチパッドが，破壊される，もしくは読み出される

　ドコモでは「iモード公式メニューに載っているiアプリに関しては，このような問題が起こらないように修正済み」と語っている。

交換することで起きる不都合も

　今回の不具合によって，基本的なセキュリティポリシーが破られ，“iアプリは安全”という神話が崩れることとなった。

　しかし，SO503iのユーザーは交換する前によく考える必要があるだろう。

問題を避けるには

出元のはっきりしないiアプリをダウンロードしない

出元のはっきりしないiアプリをバージョンアップしない

問題が起きたときの被害

別のiアプリの保存領域に書き込まれたデータが読み出される可能性がある

　ちなみに，「iアプリのバージョンアップ」を行ったことのある人はどれくらいいるだろう？　そんなメニューがあることを知らなかった人も多いかもしれない。単純にバージョンアップを行わないだけで，問題を避けることができる。

　また“読み出される可能性がある”スクラッチパッドには，どのようなデータが保存されているのだろうか。ビジネス系のアプリケーションでも，重要な情報をスクラッチパッドに保存することは稀だ。

　株価情報を表示するiアプリを提供しているDLJディレクトSFG証券では「口座番号や端末の識別番号を読み出される可能性があるが，認証には別のIDとパスワードを使っており，読み出されてもほとんど影響はないと考えている」という。

　もちろん，バグが修正された端末に交換するという手もある。しかし，端末の交換を行った場合，「データの移行は通常の機種変更と同じ」（NTTドコモ）であり，基本的にはアドレス帳の内容とBookmarkしか移行できない。ユーザーにとって最も大事なはずの，着信メロディ，iアプリ，壁紙，メールの内容などの“個人情報”がきれいさっぱり消えてしまうのだ（3月2日の記事参照）。

　「iアプリのバージョンアップを行わない」ことで問題を避けるか，個人情報の消失を伴っても“安心な端末”に交換するか。

　ユーザーにとってはとんだ災難だが，どちらのほうがいいか，よく考えてから行動する必要がありそうだ。

関連記事
SO503iのiアプリにバグ，42万台回収，交換へ
P503i，SO503iのiアプリに問題
携帯電話のデータが消える日

Copyright © ITmedia, Inc. All Rights Reserved.

---