Mobile:NEWS 2002年7月26日 06:42 PM 更新

au、WAP2.0端末でWebアクセス情報漏洩の危険

KDDIの最新端末6機種で、Webアクセス情報が第3者に漏洩する危険があることが分かった。最後にアクセスしていたWebページのURLがREFERERとして、別のサイトに送信される場合があるというもの

 KDDIのau端末で、アクセスしたWebページのURLが第3者に漏洩する可能性があることが分かった。問題が起こるのは、KDDIが12月以降販売しているWAP2.0対応端末。「A3012CA」「A3011SA」「A3013T」「C5001T」「C3001H」「C3003P」の6機種が該当する。

 Webブラウザのバグによるもので、最後に表示していたWebページのURLを、無関係なWebサイトにHTTP_REFERERとして送ってしまうというもの。この漏洩は、EメールやCメールに記述されたURLにアクセスしたときにのみ発生する。また、最後のアクセスがSSL通信を使って行われた場合は、問題は発生しない。

 これにより、Webメールを閲覧していたり、自分の現在位置をWebで確認した後に、メールに記述されたURLへアクセスすると、情報が漏洩する危険性がある。具体的には、特別な認証を行っていないWebメールの内容、現在位置を記した地図のURLが、別のサイトの管理者に送信され、閲覧される可能性がある。

 KDDIでは、「一部のユーザーの申し出で、6月末に事実を確認している」としている。「これから出てくる端末についてはソフトのバージョンアップを行う。また、対象の端末のユーザーには8月中旬以降、auショップでのバージョンアップで対応する」(広報部)。ただし、申し出たユーザーが対象で、ダイレクトメールなどでの告知は予定していない。

 上記6機種のユーザーは、EZwebの「EZ設定」−「バージョン情報」で、問題のあるブラウザかどうかを確認できる。KDDIによると、「バージョンが1.0.7以下のものが該当する」。1.0.7.1以上であれば、対応済みとなる。

<29日追記>なお「A3014S」「C3002K」に関してはブラウザのバージョンは該当するが、実装が異なり、この問題は発生しない


左は「C5001T」、右は「A3012CA」のEZwebブラウザのバージョン情報。それぞれ発売当初に購入したもの。ブラウザのバージョンが低く、情報漏洩の可能性がある

関連リンク
▼ KDDI

[斎藤健二, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

おすすめPC情報テキスト

モバイルショップ

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!