パスワードを忘れた? アカウント作成
334083 story
携帯電話

KDDI au、EZ 番号は詐称可能なため、複数手段の認証を推奨 81

ストーリー by reo
すりかえておいたのさ 部門より

ある Anonymous Coward 曰く、

こちらのつぶやきで知ったが、KDDI の技術情報によれば、au 携帯における「EZ 番号はスマートフォン等では詐称可能なため、ユーザー認証に用いる場合には、EZ 番号と併せて EZ サーバの IP アドレス等、複数手段で確認してください」という文章が追加されたようだ。詐称可能と公表するなら、ユーザー認証には使わないことを推奨した方がいいかと思うのだが、如何なものだろうか。

さっそく高木先生が物騒なことをつぶやいています。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ウイルス作成罪 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2011年06月09日 17時44分 (#1967675)
    重大なバグも「ウイルス」だそうなので、ウイルス作成罪の共同正犯にならないために告知したんじゃないですかね。
    ユーザーや開発者のためじゃなくて単なる保身。
    • by Anonymous Coward

      それか、今後は高木大明神としてあがめておかなくてはならないな。
      これまでも尊敬してましたがね。

  • IPAは空気なのか (スコア:1, 参考になる)

    by Anonymous Coward on 2011年06月09日 11時58分 (#1967394)
    • by Anonymous Coward

      IPAにとあるサイトのセキュリティについて問題があるがどうしたら良いかと問い合わせたら
      IPAから散々罵倒された挙句突き返されたからなあ。
      結局その問題は未解決のまま自分の個人情報は放置され続けてる。
      サイトの管理者に問い合わせたけどナシのつぶてだし。

      IPAなんてさっさと仕分けされて消えて欲しい。

      • by Anonymous Coward
        IPAはサポート団体ではないから、あなたの望むようなサポートはしてもらえないでしょう。

        セキュリティの啓蒙化や、便利なツール・データの研究等ですよね。

        では、どこにネジこめばいいかというと、そういう機関がないから裁判起こすしかないのでは?
      • by Anonymous Coward

        どう見ても罵倒されるようなメールしか書かなかったとしか読めない。
        IPA経由で改善された例を複数件知っているので。

        • by Anonymous Coward
          はーい!
          私は、IPAに罵倒された例の2件目です。
          • by Anonymous Coward

            私は罵倒されなかったが、無視されたぞ。「受理されました。」だけで結果が帰ってこなかった。進行状況ぐらい返事しろよ

  • > EZ 番号と併せて EZ サーバの IP アドレス等、
    って言い方をするってことは、auのスマートフォンはEZサーバを経由しないってことでしょ?
    現にグローバルIPアドレスが振られているわけだしさ。
    正しくは「EZ 番号は(対タンパ性を十分とするなら)auのガラケー以外では詐称可能なため」じゃないの。

    # そもそもHTTPでもHTTPSでも同じ値が送信されるX_UP_SUBNO HTTPヘッダでユーザー認証とか狂気の沙汰。

    • by Anonymous Coward
      > > EZ 番号と併せて EZ サーバの IP アドレス等、
      > って言い方をするってことは、auのスマートフォンはEZサーバを経由しないってことでしょ?

      加えていうなら、auのスマートフォンがEZ番号を送出することがなく、
      auのガラケーがEZサーバを介さずにHTTP(S)アクセスすることもないです。
      つまり、EZサーバ経由以外のEZ番号は信用するな、と。

      でも、EZサーバの帯域って公式コンテンツ提供者以外にも公開されてたっけ?
      センセが吊るすって言ってるのは、そこか・・・?
      • by nyagy (17036) on 2011年06月09日 12時56分 (#1967456)
        親コメント
        • by Anonymous Coward

          ※EZweb及びPCSVサービス向上のため、IPアドレスは予告なく変更させていただきますのでご了承ください。なお、アドレス増減の際には、本ページ上にて周知させていただきます。
          ※本情報はEZサーバ、PCSV以外のホストによる下記表のIPアドレスでのアクセスがないことを保証するものではありません。

          まあ、ソフトウェアの免責事項とみたいなものだろうけど、そろそろ保障とは言わなくても保証くらいしてほしいものだ。

        • by Anonymous Coward
          この IP アドレス帯の一覧ページを HTTPS (等の保護された経路) で公開・取得しないと、このページ自体とその中身が本物であることを保証できないと思います

          # あと、いい加減キャリア各社はこの情報を機械可読な形式で公開してほしい
    • by Anonymous Coward

      > 対タンパ性を十分とするなら
      ガラケー(の、少なくとも端末ID周り)に耐タンパ性なんかないよ。
      ガラケーの認証は「電波法で禁止しておけば、不正改造する奴などいるはずない」という前提のもとに成り立つもの。その想定がいかにガラパゴスなものかは最近ソニーが身をもって実証してくれたでしょ(訴訟で恫喝すればみんなビビって手を出さなくなるに違いない)。

    • by Anonymous Coward
      左様、クローズドなケータイWebの世界の中でしか使えない事は
      (ケータイWebに趣味や仕事で関わっている人の間では)常識だと思っていたが…、

      まさか、auはケータイWebの世界でお仕事してる人達に、
      「対スマフォも従来のauガラケーと同様にサービス出来ますよ」
      等と間違った事をアピールしてしまったんだろうか?

      EZ番号(旧称サブスクライバID)について妙な説明をしない限り、
      あの一文は必要ないよなぁと思ったのだが、
      あれ? EZ番号の説明が見当たらない…
  • 昔からキャリアは網-インターネットGWのIPアドレス一覧を公開してきたから 「IPが詐称されない前提で、特定IPの特定端末が出力するガラケー端末固有番号は信頼してもよい」方針だったはず。可能なら公式サイト契約してキャリア網と鯖をVPNでつないでIP詐称の可能性を排除できた。EZWEBがインターネットGWですまぽとガラケーを区別してないとしたら携帯サービス事業者としては頭が痛い話だと思う。
  • つい最近とあるサイトでIPアドレスを見ないかんたんログインのテストを
    auを対象に行っていた関係で、そのページも見ていました。
    いろいろと思うところがありすぎて、絶句してました。

  • by Anonymous Coward on 2011年06月09日 11時35分 (#1967373)

    誰でもいいから「吊るす」獲物がどこかにいないか探し歩いてでもいるんですか?このオッサン
    確かに物騒だ

    • 高木センセは普段三味線の張り替えを生業としているのでしょうか。

      --
      一人以外は全員敗者
      それでもあきらめるより熱くなれ
      親コメント
    • 今回の件だと、今までさんざん「この方法では危ない」と指摘してきたのに、通信事業者は対応する素振りを見せなかった。つまり「危険性は無い」と暗に表明していたような状態で、ユーザ側はそれ以上踏み込んだ対応を取れなかった。それを今回ついに「危ない」と公的に認めた。つまり「今までも(ある程度は)ユーザを危険にさらしていた」と認めた事になるわけで、うまく動けば責任を取らせられるんじゃ無いか? ぐらいの意図に読めた。
      親コメント
      • 基本、バレなきゃいいと思ってる人達ですから、
        例えば…

        1. 「広告メールを送る際には事前に相手の同意が必要だよ」と言う法律ができる。
        2. 携帯電話契約の約款改定で「広告メールを受け取る事に同意したとみなす」と追記、ただし、変更を告知しない。
        3. 客から「重要な変更は事前に告知するって言ったじゃないか」とクレームを受けると、
         「脱法行為だと思うなら裁判でもなんでも起こせばいい」と返答。

        ひろみちゅ頑張れ。
        少なくとも俺は気が晴れる。(私怨)
        • by Anonymous Coward
          どこに問題があるのかわかりませんが、なぜ裁判しないのですか?
          (一般論として、大事な事柄なら裁判して決着つけるべきでしょう)
          • by Anonymous Coward
            もし日本に懲罰的損害賠償の考え方があれば、
            「顧客に通知せずに約款を書き換えて法律を無効化する」事について、
            重いペナルティを科すべき、と言う判断があるかも知れませんが、

            懲罰的損害賠償が無い以上、
            損害額の見積もりが小さ過ぎる場合には、
            裁判を起こすのは現実的に無理なんじゃないですかね。
            いや、貴方が費用を全額をカンパして後押しするなら話は別ですけど、

            あ、一般論ですよ。

            > 一般論として、大事な事柄なら裁判して決着つけるべきでしょう

            なんて非現実的なのが一般的な考え方だと勘違いされるとアレなので、
            • by Anonymous Coward

              >「顧客に通知せずに約款を書き換えて法律を無効化する」事

              約款を書き換えても違法なことは違法なので、問題なし
              懲罰的損害賠償を導入すべき理由にはならない

              そのまま訴訟へ進行すればいいだけ

              # 私は裁判で喰っている

      • by Anonymous Coward

        ホントに「さんざん」したの?
        サポートにメール程度じゃやった事にも成らないだろうし、自分のサイトで騒いでも同じだよ。
        やったと言うのは相手の会社に出向いて、決定権の有る担当役員を捕まえて議論して初めて言える言葉だよね。
        セキュリティの問題提起をする人って、その辺りの常識が怪しい人も居るからちょっと心配。

        • >セキュリティの問題提起をする人って、その辺りの常識が怪しい人も居るからちょっと心配。

          個人的には、高木先生に限ってはその心配は無用と思いますが、気になるならご確認下さい。

          まあ、言うだけなら自由ですし。その発言を、事情をそれなりに追いかけてる人が「これで高木先生勝てる!やった!がんばれ!」と思うか、初見の人が「なに言ってるんだこのおっさん?」と思うか、そこまでコントロールしたいならもうちょっと慎重な発言が必要でしょうけど。
          親コメント
        • by Anonymous Coward
          > やったと言うのは相手の会社に出向いて、決定権の有る担当役員を捕まえて議論して初めて言える言葉だよね。
          それが最低限やらなきゃいけないことだと思っているのなら、あなたは一回外に出て社会を見るべきだと思う。

          少なくともこの人は自分のサイトで散々問題点を話題にしていたし、クロネコヤマトのクイックログイン機能の脆弱性に関しては報告書を送るなどの活動をしてるんだから、この人は言う権利ぐらいはあるんじゃないかな。
          • Re: (スコア:0, フレームのもと)

            by Anonymous Coward

            「相手が自分の所を見ている」って前提は何処から?
            報告書って言ってもちゃんとした対応者に届かないと単にサポートでクレーマー扱いされるのが一般的な社会って物ですが。

            世の中には「身内に有名」って人はたくさんいる。
            しかしそれらの人が「一般的に有名」かって言えば、それは言い切れないどころか否と言う方が多い。

            >> やったと言うのは相手の会社に出向いて、決定権の有る担当役員を捕まえて議論して初めて言える言葉だよね。
            >それが最低限やらなきゃいけないことだと思っているのなら、あなたは一回外に出て社会を見るべきだと思う。
            「さんざん」とか言っても身内とか自身の近辺や相手に届かない所で言っても全くの無意味で、相手は言われた覚えもないって事が普通。

            というか、知らない人が知らない所で言っているのを「さんざん言われた」って言われても、普通は困惑するでしょ?
            貴方がどっかの場末の赤提灯でグチった事を以って、上司に「何度も言ったじゃないですか」と言えないってのと一緒で。

            • by Anonymous Coward
              担当役員なんて、普通の人が会えると思ってるなら、一度社会に出たほうがいいですよ。
              「ちゃんとした対応者」に届かない理由はその「サポート」なんですから。

              高木さんの場合は少なくともネットではそれなりに著名ですし、彼の発言に言及した書き込みも多く、
              「ちゃんとした対応者」が目にしている可能性もありますが、本当の一般人ならまず無理な話。
            • by Anonymous Coward

              >報告書って言ってもちゃんとした対応者に届かないと単にサポートでクレーマー扱いされるのが一般的な社会って物ですが。

              こんなクサレサポートなら無くていいよw
              ゴメンね。クビって言ってww

    • by Anonymous Coward on 2011年06月09日 19時55分 (#1967758)

      >確かに物騒だ
      つまりこういうことですね
      「「たかぎひろみつと申します」という電話があったらアラートが鳴り響き赤ランプが回りだし
      ステータス画面には緊急事態の文字が流れ各部署の精鋭が一斉にビル館内のパイプを通って集合し
      複数の200インチ大画面を前にして彼の一挙手一投足に反応する、みたいな演出があっても良い時期だと思う。」
      http://twitter.com/#!/tommy_nezy/status/14749371333 [twitter.com]

      親コメント
    • by Anonymous Coward
      なんで、セキュリティー屋って技術的な問題点を見つけただけで
      偉そうな態度とる人が多いんでしょうか?

      大部分はそうじゃないとは思いたいけど、なんかあれな人率が高いように思う。
      QA技術者、会計監査の人とかは別にそうじゃないのに。

      そういえば上記の人たちと違うのは、頼まれもしないのにやってくるというとこか...
      なんだろう。差別用語問題とかそういう方面と共通した何かを感じる。

      人の間違いを探すのは簡単。問題は自分自身の間違いを以下に正すかだ。
      • by Anonymous Coward on 2011年06月09日 11時53分 (#1967389)

        本当に間違いを探すのは簡単ですか?
        そして、それをWebで発信するのも簡単ですか?
        彼らがいなかったら、誰がセキュリティー意識を啓蒙するんでしょう?

        親コメント
      • > そういえば上記の人たちと違うのは、頼まれもしないのにやってくるというとこか...
        そう。上記の人たちは「頼まれて」やってくる。
        つまり大半は「お客様」に対して問題指摘をするんだから、そりゃ丁寧ですよ。

        そうでなくても「頼んできた相手」つまり積極的に話を聞こうとしている相手に
        話すだけだから、語気を強くしなくても、聞いてくれる。

        逆に。

        基本的に話を聞かない(聞かないからセキュリティ問題を放置している)相手の
        耳目をいかに集める手段として、「すごくえらっそうに振舞ってみせる」
        というのは、比較的お手軽で有効に思える。

        実際こうやって意識の低そうな人からのコメントもきたわけだし。

        その先さらに、「問題を正しく認識させる」までのハードルは多そうだけど。

        親コメント
      • by Anonymous Coward

        > 偉そうな態度とる人

        政府に対する国民の態度と同じですよ♪

      • by Anonymous Coward

        会計監査の人がサボりすぎてるだけでしょ
        最近、やばくなってから意見付ける監査報告みてない?

      • by Anonymous Coward

        そういえば上記の人たちと違うのは、頼まれもしないのにやってくるというとこか...

        税務署の人とかは頼まれもしないのにやってきますが。
        現状、監査や取締りに法的な裏付けはありませんが、必要だとは思いませんか?

        #間違って火の粉がかからないよう騒がないのが訓練されたセキュリティー屋
        #間違っても火の粉がかからないところから騒ぐのがよく訓練されたセキュリティー屋
        ##火の粉の事を想定せずに騒ぐのは素人

        • by Anonymous Coward

          税務署の人は頼まれてやってると思います。
          頼んでるのが訪問を受ける一般個人ではないというだけで。

      • by Anonymous Coward

        システム全体の監修・監査をするよりも、
        1つの粗探しをする方が楽ですからね…。

        「セキュリティの専門家」って人が、責任もって監修・監査した
        システムはあるんだろうか。

      • by Anonymous Coward

        そりゃ自分の宣伝に成るから。
        評論家が他人を貶す事で自身のステータスを上げるのと同じ。
        でまあ、それは相手が客でない時に自分の価値を大きく見せる為のテクニックで、
        同一人でもコンサルとして雇えば、言う事も変わるってのも良く有る話。

        自分が間で無い話なら、現実ブッチで理想論のみ言えばいいってのも有るか。

      • by Anonymous Coward

        >問題は自分自身の間違いを以下に正すかだ。

        どのような正しっぷりを見せて頂けるのか楽しみです。

      • by Anonymous Coward
        >自分自身の間違いを以下に正すかだ。
        解ってるじゃない。
        正せない(正さない)輩がいて、
        そのせいで利用者に被害が出かねん状況なので問題提起してたんだけど、
        尻尾を出したのでようやく吊るせるって事。
        • by Anonymous Coward
          解ってないじゃないw
          落ち着け
  • by Anonymous Coward on 2011年06月09日 12時42分 (#1967437)

    auのガラケーの「IPアドレス帯域」がガラケー以外からのアクセスに使われることはない、もし使われることがあるならそれは脆弱性とみなす、と考えていいのかな?
    「我々は固体識別番号 [takagi-hiromitsu.jp]とIPアドレスで認証できると言ったことはない。非公式サイトが勝手にやっていることなのだから、詐称されようが我々の知ったことではない」みたいな言い訳を成り立たせるために、あえて口をつぐんでいたと思ってたんだけど。

  • 君たちは悪い方に物事をとらえ過ぎだ。
    どう使えるか建設的に考えるべき。

    • by Anonymous Coward
      他人がなりすましてもかまわない用途なら、そもそも認証しなくてもいいんじゃないの?
      • by Anonymous Coward

        ユニークな来訪者数とか、アンケートで有効な人数とか取りたいじゃん。

        • by Anonymous Coward

          普通にクッキー使えば?

          • by Anonymous Coward

            ガラケーはクッキー使えない機種がアクセス比でまだ30%以上残ってるんだよ…
            悪いのは全部ガラキャリとACCESS。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...