このテーマを設定する
NTTドコモのセキュリティ意識って(ry

ちょっと時間が出来てWeb閲覧していたら気になったので,PCの前に戻って書くなのだ。

長文なので結論を先に書くのだ。

iモード(2.0端末)利用者は,かんたんログインに関する脆弱性の責任の所在をNTTドコモが明言するまで,(そして対策がなされるまで)JavaScriptの無効化をして利用するのを勧めるのだ。

ドコモ携帯、情報流出の恐れ…最新29機種 YOMIURI ONLINE

“NTTドコモでは、公式サイトを運営する約3000社には注意喚起したが、それ以外の無数にある「勝手サイト」には「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」という。”

“高木浩光主任研究員は、「利用者IDがあらゆる携帯サイトに自動で送られ、認証に使われる仕組みは問題だ」と指摘している。”

そして,そのiモードIDを用いた「かんたんログイン」の脆弱性に対する責任の所在の話。

かんたんログイン手法の脆弱性に対する責任は誰にあるのか 徳丸浩の日記

“DNSリバインディング自体は既知の攻撃手法であるが、「PC向けインターネットサイト」に対する攻撃ではなく、インターネットサイトを閲覧しているPC自身やファイアウォールの内側のローカルネットワーク上の端末に対する攻撃手法として知られている。”

つまり,「かんたんログイン」と組み合わせられる脆弱性はWebサイトに対して攻撃を許すものではなく,利用者の端末に対してのものなのである。

また,その脆弱性の実例としてtwtr.jpの実例が挙げられている。

ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された 徳丸浩の日記

このように,NTT公式サイトにだけ問題の所在を通知し,その他のサイトについては“ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識”としてその通知を行わないのは,まったく的外れな対応と言っても過言ではないのではないか?

“通知からわずか10時間あまりでの修正である。”

“脆弱性を通知したらその日のうちに対策する能力がデジタルガレージ社にあった”

これだけの能力を有する企業であっても,その存在を知らなければどのような対策も取ることはできない。たとえそれが,“わずか10時間あまり”で対応可能な問題であったとしてもだ。

(図らずもこのデジタルガレージの対応との対比で,“はてなは通知から修正完了まで20日も掛かった”ということから,セキュリティ問題に対するはてなの無能さが露呈してしまっている。その期間が能力的なものによるものでなかったとしても,あるいは単に通知が遅れたり事務的な問題によるものであったとしても,実際に問題が放置されたりユーザーへの対応が遅れたことに変わりはない。問題に対する対処能力にしても,それを通知したユーザーへの対応という意味でも,いずれにしても能力が劣ると判断されるのも致し方ない結果であろう。)

この問題に対する責任の所在については,明確にNTTドコモもその一端を追うべきであると断言しうる。

なぜならば,下記のニュースリリースにあるように・・・

重要なお知らせ:『iモードID』の提供開始について NTTドコモ

NTTドコモはiモードIDの目的として,

“(1) お客様利便性の向上

お客様がiモード対応サイトをご利用いただく際に、特別な操作をすることなくカスタマイズされたページを表示することができるようになります。”

とかんたんログインの用に適すると言明しているからである。

これでもし,先の徳丸浩の日記の責任は誰にあるのかの記事にあるように,

“かんたんログインという手法は各サイトが独自に実装しているもので、携帯電話事業者はガイドラインなども提示していないので責任は一切負わない”

というのであれば,かんたんログインの用に適すると公言しながらセキュリティ上問題のある実装ができてしまう機能を提供するのは,あまりに無責任に過ぎると言わざるを得ない。

しかも,そのセキュリティ上の問題は“Webアプリケーション側の「不具合」”ではなく,“端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい”というものなのである。

つまりは,NTTドコモの発売している端末側の問題であり,しかし端末では対応不可能に近く,なおかつNTTドコモのゲートウェイという自らの責任の範囲で対処されるべき問題でもあるのにもかかわらず“問題の性質上、対応が難し”く,故に“Webサイト側での対応が推奨される”に過ぎないのである。

自らのニュースリリースで述べているように,“iモードのWebアクセスのうち約6割強が一般サイトへのアクセスとなって”いる現状において,自らに責任の所在があると考えられるiモードIDという機能の利用法としてかんたんログインを広報しておきながら,“かんたんログインという手法は各サイトが独自に実装している”ものだから一切責任を負うものではないと言うのであれば,責任放棄としか言いようがない。

このような姿勢を示すとしたら,iモードIDの利用は“お客様利便性の向上”を名目にユーザーの個人情報を危険にさらし,かつ“iモード対応サイト提供者様のビジネスの発展”を脅かす存在に他ならないと言えないだろうか?

PRINT THIS POST WORDS: リアクション: 33 3/1/10 — 12:14pm ショートURL : http://tumblr.com/Zf4eOyO_M1a
 
  1. dnsystemotsuneからリブログしました
  2. naaponpipcoからリブログしました
  3. pipcoreretletからリブログしました
  4. reretletivarnjkからリブログしました
  5. rrymultiからリブログしました
  6. multinashi-kyoからリブログしました
  7. sunshinerecorderotsuneからリブログしました
  8. bigenootsuneからリブログしました
  9. iyoupapaotsuneからリブログしました
  10. taisukeorgotsuneからリブログしました
  11. jmpykiri2からリブログしました
  12. mogemuraotsuneからリブログしました
  13. nashi-kyootsuneからリブログしました
  14. firebumotsuneからリブログしました
  15. knnrotsuneからリブログしました
  16. kiri2otsuneからリブログしました
  17. zentoootsuneからリブログしました
  18. shunsukeivarnjkからリブログしました
  19. redcat22otsuneからリブログしました
  20. tk78otsuneからリブログしました
  21. kyokutyootsuneからリブログしました
  22. masamusiotsuneからリブログしました
  23. massy2412otsuneからリブログしました
  24. ngaotsuneからリブログしました
  25. yuibbotsuneからリブログしました
  26. otsuneivarnjkからリブログしました
  27. rbu6000ivarnjkからリブログしました
  28. ivarnjkの投稿です