クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性

[宮田健，ITmedia]

　ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。

　同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。

　問題となったのは、ログインID／パスワードを入力せずに認証を行う「クイックログイン機能」（かんたんログインと表記するサイトもある）。多くの携帯電話向けサイトで実装されているこの機能は、携帯電話端末が持つ「契約者固有ID」を利用している。Webサイトにアクセスする際に、このIDをWebサーバに送信するので、携帯電話向けサイトではこのIDをもとにユーザーを認証できる。契約者固有IDは携帯電話ごとに固定されているため、通常、携帯端末上では変更できない。

　PCなどから携帯向けWebサイトにアクセスする場合、通信のヘッダを書き換えることで任意のIDを送信できる。クイックログイン機能を提供するには、携帯電話端末からのアクセスを前提とし、携帯キャリアのIPアドレス範囲に限定するなどの防御が必要だが、これだけではなりすましを完全に排除できないとされている。

　問題を報告したユーザーのブログによると、アクセスを行ったのはiPhoneアプリの「SBrowser」。このアプリはiPhone上で携帯電話ブラウザのエミュレートを行うもので、ランダムな契約者固有IDを送信できるほか、通信を行う際にヘッダを設定できる。このような設定はPCからアクセスする場合も同様の処理が行えるため、iPhone、およびSBrowserの問題というより、Webサイト自体の問題であるといえる。

　契約者固有IDは、1つの端末からすべてのサイトに対して同一の値が送出されるため、プライバシー上の問題とセキュリティ上の問題がある。クイックログインは実装方法や運用方法によってはセキュリティ上の問題があるとされ、専門家からは懸念の声が上がっていた。この件についてヤマト運輸では、引き続きシステム的な対応を行うとしている。