クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。
同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。
問題となったのは、ログインID/パスワードを入力せずに認証を行う「クイックログイン機能」(かんたんログインと表記するサイトもある)。多くの携帯電話向けサイトで実装されているこの機能は、携帯電話端末が持つ「契約者固有ID」を利用している。Webサイトにアクセスする際に、このIDをWebサーバに送信するので、携帯電話向けサイトではこのIDをもとにユーザーを認証できる。契約者固有IDは携帯電話ごとに固定されているため、通常、携帯端末上では変更できない。
PCなどから携帯向けWebサイトにアクセスする場合、通信のヘッダを書き換えることで任意のIDを送信できる。クイックログイン機能を提供するには、携帯電話端末からのアクセスを前提とし、携帯キャリアのIPアドレス範囲に限定するなどの防御が必要だが、これだけではなりすましを完全に排除できないとされている。
問題を報告したユーザーのブログによると、アクセスを行ったのはiPhoneアプリの「SBrowser」。このアプリはiPhone上で携帯電話ブラウザのエミュレートを行うもので、ランダムな契約者固有IDを送信できるほか、通信を行う際にヘッダを設定できる。このような設定はPCからアクセスする場合も同様の処理が行えるため、iPhone、およびSBrowserの問題というより、Webサイト自体の問題であるといえる。
契約者固有IDは、1つの端末からすべてのサイトに対して同一の値が送出されるため、プライバシー上の問題とセキュリティ上の問題がある。クイックログインは実装方法や運用方法によってはセキュリティ上の問題があるとされ、専門家からは懸念の声が上がっていた。この件についてヤマト運輸では、引き続きシステム的な対応を行うとしている。
関連記事
- 「PCでは見えないはず」に頼ることの危険性(@IT Security&Trustフォーラム)
- 「Yahoo!モバゲー」再開 他人のマイページにログインする不具合を修正
他人のマイページにログインする不具合が発生し、23日からサービスを中断していた「Yahoo!モバゲー」が28日再開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 「iPhoneの調子が悪いです」の文言、なぜアイホンのFAQに? 実はAppleと深く関係 (2026年02月08日)
- KDDI、楽天モバイルとの「ローミング重複エリア」を順次終了 松田社長が言及 (2026年02月06日)
- 総務省有識者会議が「手のひら返し」な我が国への示唆――日本を国際標準から遅れさせたのは自らの愚策のせい (2026年02月08日)
- 「東京アプリ」で1.1万円分をゲット、お得な交換先はどこ? dポイント10%増量+楽天ペイ抽選が狙い目か (2026年02月05日)
- 楽天モバイル、1000万回線突破も残る「通信品質」の課題 5G SAの早期導入とKDDIローミング再延長が焦点に (2026年02月07日)
- 東京アプリ、PayPayがポイント交換先に追加される可能性は? 広報に確認した (2026年02月05日)
- 「小型iPhone SEを復活させて」──手放せない理由SNSで話題 どこが“ちょうどいい”と評価されるのか (2025年11月29日)
- 【ニトリ】1990円の「スマホに付けるカードケース」 マグネット対応でスタンドとしても使える (2026年02月07日)
- Suica、JRE POINTのキャンペーンまとめ【2月6日最新版】 1万〜2万ポイント還元や10倍還元のチャンスあり (2026年02月06日)
- iPhoneの日付変更で空き容量を確保する裏技は“厳禁” 実行してしまった場合の対処法は? (2026年01月08日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。