iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される

永井美智子(編集部)

2009-11-24 18:04

 HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能(かんたんログイン)について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。

 かんたんログインとは、契約者の固有IDを利用した簡易認証機能。ユーザーがIDやパスワードを入力しなくても認証ができることから、モバイルサイトでは広く採用されている。NTTドコモの場合はiモードIDと呼ばれる端末固有の7ケタの番号を使っている。

 NTTドコモでは2009年5月以降に発売した端末において、JavaScriptなどに対応した「iモードブラウザ2.0」と呼ばれる新ブラウザを採用。10月末からJavaScriptが利用可能となっている。また、DNSリバインディングとは、DNSを利用した攻撃手法の一つ。DNSが返すIPアドレスを短時間の間に変更することで、ローカルネットワークなど本来アクセスできないはずのネットワークと通信できるようにしてしまうというものだ。

 今回発見された問題は、このJavaScript機能とDNSリバインディングを使ってローカルネットワークの認証を突破されてしまうというもの。これにより、(1)ユーザーの秘密情報が盗まれる、(2)ユーザー権限での物品購入、不正な送金といったサービスの悪用がされる、(3)ユーザー権限で不適切な内容の投稿、設定変更といったデータベースの更新がされる、といった恐れがある。

 この攻撃手法の影響を受けるシステムは、(1)iモードIDによるかんたんログイン、あるいはセッション管理をしている、(2) HTTPリクエストヘッダのHOSTフィールドをチェックしていない、という2つの条件を満たすもの。なお、FOMAカード製造番号などを用いてセッション管理をしている場合は対象外となる。

 HASHコンサルティングではサイト運営者側での問題の回避策として、iモードIDをかんたんログインおよびセッション管理に使用しないこと、HTTPリクエストヘッダのHOSTフィールドの正当性をチェックすることを挙げている。

 また、ユーザーに対してはJavaScript機能を無効にすることで、攻撃を防止できるとしている。

 このほか、NTTドコモに対しては、ゲートウェイ設備において一定時間以上DNSの結果をキャッシュすることで、予防的な対策が取れると勧めている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. 運用管理

    IDCレポートが明かす、AI時代において「プライベートAIインフラ」が企業競争力に果たす役割と効果

  3. ビジネスアプリケーション

    新規アポ率が従来の20倍になった、中小企業のDX奮闘記--ツール活用と効率化がカギ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]