Mobile：NEWS

2002年7月26日　06:42 PM 更新

au、WAP2.0端末でWebアクセス情報漏洩の危険

KDDIの最新端末6機種で、Webアクセス情報が第3者に漏洩する危険があることが分かった。最後にアクセスしていたWebページのURLがREFERERとして、別のサイトに送信される場合があるというもの

　KDDIのau端末で、アクセスしたWebページのURLが第3者に漏洩する可能性があることが分かった。問題が起こるのは、KDDIが12月以降販売しているWAP2.0対応端末。「A3012CA」「A3011SA」「A3013T」「C5001T」「C3001H」「C3003P」の6機種が該当する。

　Webブラウザのバグによるもので、最後に表示していたWebページのURLを、無関係なWebサイトにHTTP_REFERERとして送ってしまうというもの。この漏洩は、EメールやCメールに記述されたURLにアクセスしたときにのみ発生する。また、最後のアクセスがSSL通信を使って行われた場合は、問題は発生しない。

　これにより、Webメールを閲覧していたり、自分の現在位置をWebで確認した後に、メールに記述されたURLへアクセスすると、情報が漏洩する危険性がある。具体的には、特別な認証を行っていないWebメールの内容、現在位置を記した地図のURLが、別のサイトの管理者に送信され、閲覧される可能性がある。

　KDDIでは、「一部のユーザーの申し出で、6月末に事実を確認している」としている。「これから出てくる端末についてはソフトのバージョンアップを行う。また、対象の端末のユーザーには8月中旬以降、auショップでのバージョンアップで対応する」（広報部）。ただし、申し出たユーザーが対象で、ダイレクトメールなどでの告知は予定していない。

　上記6機種のユーザーは、EZwebの「EZ設定」−「バージョン情報」で、問題のあるブラウザかどうかを確認できる。KDDIによると、「バージョンが1.0.7以下のものが該当する」。1.0.7.1以上であれば、対応済みとなる。

＜29日追記＞なお「A3014S」「C3002K」に関してはブラウザのバージョンは該当するが、実装が異なり、この問題は発生しない

左は「C5001T」、右は「A3012CA」のEZwebブラウザのバージョン情報。それぞれ発売当初に購入したもの。ブラウザのバージョンが低く、情報漏洩の可能性がある

関連リンク
KDDI

[斎藤健二, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.

---