iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される

永井美智子(編集部)

2009-11-24 18:04

 HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能(かんたんログイン)について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。

 かんたんログインとは、契約者の固有IDを利用した簡易認証機能。ユーザーがIDやパスワードを入力しなくても認証ができることから、モバイルサイトでは広く採用されている。NTTドコモの場合はiモードIDと呼ばれる端末固有の7ケタの番号を使っている。

 NTTドコモでは2009年5月以降に発売した端末において、JavaScriptなどに対応した「iモードブラウザ2.0」と呼ばれる新ブラウザを採用。10月末からJavaScriptが利用可能となっている。また、DNSリバインディングとは、DNSを利用した攻撃手法の一つ。DNSが返すIPアドレスを短時間の間に変更することで、ローカルネットワークなど本来アクセスできないはずのネットワークと通信できるようにしてしまうというものだ。

 今回発見された問題は、このJavaScript機能とDNSリバインディングを使ってローカルネットワークの認証を突破されてしまうというもの。これにより、(1)ユーザーの秘密情報が盗まれる、(2)ユーザー権限での物品購入、不正な送金といったサービスの悪用がされる、(3)ユーザー権限で不適切な内容の投稿、設定変更といったデータベースの更新がされる、といった恐れがある。

 この攻撃手法の影響を受けるシステムは、(1)iモードIDによるかんたんログイン、あるいはセッション管理をしている、(2) HTTPリクエストヘッダのHOSTフィールドをチェックしていない、という2つの条件を満たすもの。なお、FOMAカード製造番号などを用いてセッション管理をしている場合は対象外となる。

 HASHコンサルティングではサイト運営者側での問題の回避策として、iモードIDをかんたんログインおよびセッション管理に使用しないこと、HTTPリクエストヘッダのHOSTフィールドの正当性をチェックすることを挙げている。

 また、ユーザーに対してはJavaScript機能を無効にすることで、攻撃を防止できるとしている。

 このほか、NTTドコモに対しては、ゲートウェイ設備において一定時間以上DNSの結果をキャッシュすることで、予防的な対策が取れると勧めている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]