パスワードを忘れた? アカウント作成
15865 story
テクノロジー

携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか? 123

ストーリー by GetSet
身近すぎて意識から漏れている気がする 部門より

Anonymous Coward 曰く、

米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか?

6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。

また、高木氏の6/29の日記「EZwebサイトでSession Fixation被害発生か?」では、Webアプリサーバの設定ミス等でセッションが意図せず共有され、顧客情報が漏れるという「au Books」での事例が紹介されている。(参考:auのプレスリリース(6/26)
これは、携帯電話のWebサービスはデバッグがしにくいためか、脆弱性のチェックがおろそかになっていて、利用者が思っているほど安全に利用出来ないという事が原因の一つではないかと思う。6/13のYouichi’s Log(分家)「INFOBARでtwitterやってるひとはしばらくやめたほうがいい」という指摘も、ガラパゴスな携帯電話のブラウザ毎の挙動を、Webサービス提供者が把握しきれない難しさの一例になるかもしれない。

「通信速度も遅くて画面も狭い端末でネットなんかして楽しいの? 無理して使わなければ安全なのに…」という方も居るとは思う。確かにそれはその通りで、自分も最近までそう思っていた。
しかし、パケット定額プランに入って使っていると、ついついニュースサイトを巡回、ムービーを閲覧、自宅サーバーにメモやブログを残し、Twitterに投稿、地図・路線・グルメ情報の検索などをPCの無い環境から行っていて、気づいた時には従量換算で13~15万円近い通信料が発生していた事に驚かされた(上記に加えて更に、Amazonの注文や宅配便の確認、チケット予約などが加わることもある。)
iPhoneでAjax、LGのYoutube携帯など、ケータイのリッチコンテンツ対応が進んでいくならば、更にケータイWebを積極的に利用する流れが加速するのは避けられないと思う。
そうなった時に、携帯電話のブラウザによるWeb巡回が、PCでの巡回とさほど変わらない程度に安全と言えるようになるためには、各キャリアはガラパゴスな携帯電話のブラウザ実装状況を見直し、Webサービス提供者は携帯電話のブラウザで巡回しても安全性を確保しやすいセーフティなデザインを検討していく、というような対処が必要となるのではないだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年07月11日 17時03分 (#1187915)
    高木氏が http://takagi-hiromitsu.jp/diary/20070224.html で書いておられるように、au 電話の Web ブラウザには現在の URL を確認する機能が用意されていません。このため、au 電話で URL を確認したい場合、メニュー(*1) から「お気に入り登録」を選択して、登録の確認画面で URL をコピーする、という方法が一般的に用いられています。(*2)

    しかし、この方法には2つの欠陥があります。

    1. お気に入り登録を拒否できる(*3)
    特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。

    2. 特定の URL をお気に入りの URL として認識させることができる
    1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)

    これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。

    *蛇足(というかオフトピ)ですがセキュリティ繋がりで:
    KDDI au: ダウンロードCGI > サンプルプログラムのセキュリティに関する重要なお知らせ
    http://blog.kenichimaehashi.com/jump.cgi?url=http://www.au.kddi.com/ezfactory/tec/dlcgi/info.html
    au のダウンロード CGI に脆弱性が発見
    http://blog.kenichimaehashi.com/?article=11839849910

    (*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
    (*2) 例えば、http://www.naruhodo-au.kddi.com/qa2745127.html など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
    (*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:http://srad.jp/security/article.pl?sid=05/12/09/1021257)などによって流出したケースがあるようです)。
    (*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
    (*5) せめて同一ドメイン内とかにして欲しかった。
  • 一方iPhoneは (スコア:4, 興味深い)

    by sayuporn (33927) on 2007年07月11日 12時34分 (#1187767) 日記
    セキュリティのためにWebを積極的に使う姿勢のようですね。
  • by Anonymous Coward on 2007年07月11日 12時47分 (#1187779)
    携帯向けのサイトは、携帯会社、機種ごとに仕様が違うので、デバッグがとても大変。
    機種を判定するクラスもしょっちゅうアップデートしなくてはいけないし、
    予算のないところでは、正直言って、作りっぱなしになる。
    インターネットから切り離したほうが良いんじゃないかと思うよ。
    • by iwakuralain (33086) on 2007年07月11日 13時30分 (#1187803)
      日本みたいに各キャリアがバラバラって国も珍しいですからね。
      仕様を1つにしてくれればどれだけデスマが減ることか・・・
      親コメント
    • by Anonymous Coward on 2007年07月11日 15時53分 (#1187867)
      >携帯向けのサイトは、携帯会社、機種ごとに仕様が違うので、デバッグがとても大変。
      >機種を判定するクラスもしょっちゅうアップデートしなくてはいけないし、
      >予算のないところでは、正直言って、作りっぱなしになる。

      記事が解りにくいと不評の、たれゴミACです。

      予算があっても相当厳しいのが現状です。初期i-mode~初期FOMA~90x、
      J-Phone~vodafone~softbankとezを広範にサポートするササイトに関わりました。
      そこは衣食住に絡んだ日常的なテーマで、公式メニューにも出てくるサイトだったので、
      ちょっとサポート漏れがある機種があると直ぐにクレームが入ってきました。
      文字数制限あたりは可愛いもので、サポートタグの機種ごとの仕様違いなど、
      ハマリポイントがそこかしこに存在しているので正に地獄。一機種先は闇。
      そして、J-Phoneなどの旧機種など、熱心にサポートしても割に合わない、
      でも始めちゃうとユーザーがついてきて中々やめられないとか。

      公式メニューのために、新型のデバイスが出ればサンプル機を借り受けられた、
      というのは有り難かったですが、絶対失敗するなよというプレッシャーでもありました。
      実際、「手一杯でちょっと待って欲しい」と言うと「あっちのキャリアに注力するからか?あーん?」
      といった感じに機嫌を損ねるので、営業的には「ハイ直ぐやります」となるわけで。
      かといって人を増やせない、このしわ寄せはどこで吸収するの?という感じです。

      >インターネットから切り離したほうが良いんじゃないかと思うよ。

      安易に携帯向けサイトを作らなくなることで、そのサイトで被害にあう可能性は減りますが、
      ただ、高木氏のサイトがそうであるように、望むと望まざるとにかかわらずアクセスされるので、
      いっそキャリア・メーカーが更新を見捨てた携帯はアクセスが出来なくなるとか許されれば、
      デバッグの手間も減ってセキュリティ対策に割り振れるのになと都合のいい事を考えてしまったり。
      親コメント
  • by 127.0.0.1 (33105) on 2007年07月11日 14時45分 (#1187838) 日記
    「ガラパゴス文化」みたいな、キャッチーな表現を目指しすぎて
    かえって説明をはしょりすぎな印象を受けます。特に今回のストーリー文。

    「ガラパゴス」という単語が、ある物が他の地域とは隔絶した地域で独自の
    発達の仕方をしてといったような様相を表している、というのはまぁスラド読者には
    伝わるでしょう。最近の使われ方としては、2004年にVA Linux佐渡氏が
    ダーウィンの進化論になぞらえて、日本のOSS界をそう表現したのが記憶に新しいかと。
    しかしこれに引きずられて、外国の携帯電話業界と日本のそれとを比較したものと
    誤解してしまいそうになります。よくよく見ると、Web業界の標準的な仕様と
    携帯電話のWebブラウジング機能を比較したものなのだけども。
    ああ、でも高木氏の記事では、記事の最後の方で「そんなものは英語圏では~」と
    外国対日本的な対比もしていますね。

    まぁつまり何が言いたいかというと、キャッチーそうに見える単語で説明した
    つもりにならずに、普通の日本語で平易な表現するよう心がけるように
    してほしいってことですかね。
    • by Anonymous Coward on 2007年07月11日 16時31分 (#1187886)
      たれゴミACです

      別ACさんへの回答が流用可能と思うので、そこへのポインタ [srad.jp]をもって「ガラパゴス」という言葉、
      その解釈とそれを使った意図の説明とさせていただきます。

      少なくとも、「キャッチーそうに見える単語で説明したつもり」ほど軽い動機では無いのですが、
      後半が長くなるにつれて「かえって説明をはしょりすぎな印象」になったという感じでしょうか。
      そういう印象は変わりなく、却って本題とは関係ないと判断されて削除されたのでしょうけど、
      元のタレコミ文はこう [srad.jp]で、もうちょっと言葉が多く、実際に端折られていたりします。
      他のACさんの指摘にもあるように、長々と書いたので焦点をぼけさせてしまった。
      そこで、編集者氏が修正しようとしたが、結果的に私の悪文のほうが
      斜め上を行っていたという事でしょうかね。

      このところ携帯と携帯サイトのセキュリティが問題( [tosp.co.jp])になる機会が増えており、
      その経緯を最近のものだけでも順を追って説明しようとして、自然と長くなってしまいました。
      そこに、高木記事にある「公式だから安全」というauの認識にイラッと来たために、
      ガラパゴスに安住する珍獣が!ペッ!と思って言葉が先走ったかもしれません。
      他ACさんが言うように「ガラパゴス化」のほうが、まだ良かったですね。
      親コメント
    • 「ガラパゴス」が何を意味していようと、多分本題には関係ないだろうと思って気にしてなかったが、なにやら議論してるとこ見ると関係あるの?
      ガラパゴスだろうと何だろうと、携帯webのセキュリティに問題があることに変わりはないのでは?(これまでの説明を読むと、ガラパゴスやMacの方が危険が少ないようにも見えるが)
      --
      the.ACount
      親コメント
  • 「ガラパゴス状態」と揶揄されているのはWebアプリ側の問題?キャリアのゲートウェイの問題?端末のブラウザの問題?どれなんでしょうね。そのすべて、というのが正解だと思うのですが、人それぞれの立場でどの問題を重視するか、どの問題に影響を受けるかは異なるので、議論が発散しがちになりますね。切り分けがあいまいになりがちというか。

    たとえばWebアプリ側の問題としてタレこみで挙げられている「Webアプリサーバの設定ミス等でセッションが意図せず共有され」というのは別にケータイのサイトに限って発生するわけでもないとおもいます。もちろんそれがEZ番号(サブスクライバID)に起因するものであればケータイ特有ということになりますが(他キャリアの場合であればクッキーの使用可否も含む)。

    >各キャリアはガラパゴスな携帯電話のブラウザ実装状況を見直し、
    >Webサービス提供者は携帯電話のブラウザで巡回しても安全性を確保しやすい
    >セーフティなデザインを検討していく、というような対処が必要となるのではないだろうか。

    まさしくその通りだと思います。が、やっぱり前者(ケータイのブラウザの改善)のほうが重要かなぁ、と思ったり。クッキーが使えないなんてのはWebアプリ側ではどうしようもないですし。
    --
    屍体メモ [windy.cx]
  • 米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか?

    初代のWAPではなく、HTML系統をケータイ向けに落としこんで、 作ったWAP2.0は海外でも使われる様になったと 思うのですが、海外の比較的高機能なケータイを利用している層のWAP2.0系統のコンテンツの利用率 は低いものなんですかね?海外の高機能電話の事情は いまいち詳しくないのでわからないのですが、タレコミ文を見てると 一応、ケータイ専用のコンテンツは利用率が低いという事になってる様ですが。

    ケータイ専用のコンテンツはWWWと比較すると、コンテンツの量などの面で劣りますが、 小型機器で動作する仕様として考えられているので、ケータイ端末上で動作させる場合、 動作の軽快さがかなり違うので アレはアレでメリットあるものなんですが。iPHONEなんかでも iPHONE向けに専用に作られたコンテンツの方がそうでないものより、 快適に扱えると思われます。

    例えば、天気予報とかちょっとしたニュース程度を見るのなら、 ケータイで処理するには重たい、 わざわざ大きなHTML文書や、画像を落としてくる必要性はなかったりするんじゃないかと。

    --
    /.はログインすると色々できます by Dポ研。 [twitter.com]
  • by flutist (16098) on 2007年07月11日 12時33分 (#1187765)
    高負荷を想定していないサーバーにリンクをはるときは、可能な範囲で(かつ充分量だとうれしいですが)参照先の内容を引用とか要約して記述とかしてもらえると、うれしいです。
    どっかにミラーかアーカイブかなんか、ないですかね?
  • by Anonymous Coward on 2007年07月11日 12時32分 (#1187764)
    アドレス帳が非常に怖い(何らかの脆弱性やらでリモートから
    見ることが出来る可能性がありそう...)のは私だけでしょうか?

    なので一切アドレス帳には登録してません。
    まあ電話番号を覚えてない人にかける事がほとんどないですけど。
  • by Anonymous Coward on 2007年07月11日 12時35分 (#1187768)
    2007/07/09-16:21 携帯電話が爆発、作業員死亡=原因は偽の電池か−中国 [jiji.com]

     
    【北京9日時事】新華社電によると、中国甘粛省酒泉市金塔県の工場で6月19日、溶接作業員(22)が仕事中、胸のポケットに入れていた携帯電話が突然爆発し、作業員は死亡した。公安当局による初歩的な捜査の結果、携帯電話の電池が高温下で爆発したとみられ、充電式電池が偽物であるなど問題があった可能性も指摘されている。
     携帯電話は米モトローラ製。同社は関係者を現地に派遣し、調査を行ったとした上で「電池が爆発する確率は非常に低い」と説明。同社は既に被害者の家族にお見舞いを行ったという。
     中国では、品質の悪い偽の電池が正規のものに比べて安い値段で大量に出回っている。


    #あ、こういう話じゃない?
  • by Anonymous Coward on 2007年07月11日 12時38分 (#1187769)
    とは言わないがもはや電話機じゃなくて電話つきの何かだよなぁ
    • 現在使用中の端末で不具合が報じられても、よほど致命的な欠陥でなければ
      わざわざ店頭まで出向いて交換/修理する人は少ないでしょう。
      かくいう私もReferer誤送出のau端末を機種変更まで放置したクチです。

      旧機種はゴミと言わずとも、やがて機種変更でポイされる運命・・・
      携帯電話によるWEB利用の危険性を提言しても「何それ、不具合? でも
      新機種では直すんでしょ?」と言われるだけのような気がします。
      --
      匠気だけでは商機なく、正気なだけでは勝機なし。
      親コメント
  • by Anonymous Coward on 2007年07月11日 12時49分 (#1187780)
    高木センセが指摘したものは、危ない。いや、危なくなる。

    これだけ抑えておけば安心。
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...