"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010

かんたんログインがはらむプライバシー問題

高木浩光氏は、これまで自身のブログなどでかんたんログインに関する問題を報告している。今回はイー・モバイルの携帯WebであるEMnetを使ってインターネットに接続した結果を話した。EMnetのプロキシ経由で固有IDを書き換えて他社キャリアのIDを送信すると、IPアドレス制限はクリアでき、プロキシサーバでの書き換えも行われなかったという。

EMnetのプロキシは、X-EM-UID:のヘッダで固有IDを付与する仕組みで、あらかじめUIDがあった場合、それを削除して正しいIDに書き換えて送信するが、他社のヘッダがあったとしても、それは書き換えない。他社の固有IDを削除しないこと自体は問題のある動作ではない、と高木氏。固有IDの送信に関する仕様が各社で統一されておらず、キャリア同士が連携がしていないため、勝手に削除すると別の問題が生じる可能性があるからだという。

とはいえ、その結果、イー・モバイル回線経由で固有IDのなりすましが可能になる、というわけだ。さらに、イー・モバイルだけでなくソフトバンクにも同様の問題があるという。

ソフトバンクにはノキアやサムスンといった海外端末向けにアクセスポイント(APN)が提供されており、これを使ってPCのダイヤルアップからプロキシ経由でアクセスすると、ソフトバンクのIPアドレス範囲でWebサイトに接続できる。この時、固有IDをX-JPHONE-UIDヘッダに入れて送信しても、プロキシで正しいものに書き換えられるが、User-Agentの端末シリアル番号は削除されずに素通しされるそうだ。「User-Agent内の端末シリアル番号をかんたんログインで使ってはいけない。少なくともソフトバンク端末向けのかんたんログインでは絶対にダメ」と高木氏は強調する。

イー・モバイルと同様にX-JPHONE-UID以外のヘッダは削除されないが、Webアプリケーション側でUser-Agentを使ってキャリアを判別している場合、ソフトバンク以外はアクセスが拒否される。ところが、User-AgentヘッダにソフトバンクのIDがあり、さらにそのあとに別の文字列が入っていた場合は拒否されないうえ、Webアプリケーションの設定によっては、もう一方のUser-Agentを認識してしまう場合があるという。

その場合、ソフトバンクのIPアドレス範囲からPCでアクセスし、固有IDを偽装した形でなりすましログインができてしまう。

徳丸氏も話したように、SSL通信では、ゲートウェイでの書き換えが行われないため、固有IDは書き換えられたまま送信される。イー・モバイルとソフトバンクで試した結果、高木氏は問題を確認。また、たとえば利用しているレンタルサーバーがバーチャルホストで、同一IPアドレスでサーバー証明書が提供されていると、携帯サイト運営者が意図しない状況でSSL通信ができてしまい、なりすました固有IDでアクセスできてしまうのだという。

銀行サイトなど、SSLが必須のサイトでは、かんたんログインは「絶対に使えない」(高木氏)。SSL通信では攻撃者が通信に割り込む危険性があり、そうした場合に任意のIDが送信できてしまい、かんたんログインが突破されてしまう。

こうしたかんたんログインの問題について、高木氏は「キャリアの責任」と言い切る。公式サイトをのぞけば、一般に公式な情報をキャリアが提供していないため、どういう動作をするか、一般には分からないからだ。

さらに、携帯ネットワークの閉鎖性を実現するIPアドレス範囲による制限も、「安全に実現する方法がない」と指摘。IPアドレス範囲は、各キャリアのWebサイトで公表されているが、公開しているサイトはソフトバンク以外、HTTPS通信ではアクセスできない、機械処理ができないといった問題があり、DNSスプーフィングの攻撃によって異なるIPアドレスが取得される危険性もあるという。

ちなみに、au携帯で送信されるEZ番号は、「送信時に端末で付与しているとしか思えない」(同)。これは、SSL通信でも送信できることから推測したものだ。ただし、仮に端末がクラックされ、任意のIDが送信できるように改造された場合、その1台から好きな固有IDを送信できてしまうという危険性がある。

かんたんログインがはらむ危険性はプライバシーの問題だ。高木氏は、特にかんたんログインがインターネットの世界まで進出することを懸念。かんたんログインを使わない手法を提案する。

それがCookieを使ったやり方だ。Cookieは、一般的にインターネットで使われていて、サービスにログインするときなどに発行され、一度IDとパスワードでログインすると、そのセッションIDの有効期間内であれば再びIDとパスワードを入力しなくてもログインできる。

かんたんログインのように、一度設定したら永続的にログインできるようにするには、その期限を無期限にすればいいと高木氏は説明。Cookieで使われるセッションIDは、固有IDとは異なり秘密情報なので、上記のようななりすましの問題も起きないという。

「ボタンを押すだけでログインできるなら、そもそもログインボタンはいらないのではないか」と高木氏は指摘する。以前ドコモでは、utnを送信して認証する場合に許可を求めるダイアログが表示されており、サイトアクセス時にいきなりダイアログが出るのではなく、ボタンを押すという1クッションを置いていた名残ではないか、と推測している。

さて、かんたんログインは、固有のIDを使い、パスワードを使わないため安全という話がある、と高木氏。しかし、たとえばSNSサービスはキャリアをまたがって利用するので、携帯を機種変更する場合に、移行用にパスワードを発行せざるを得ないし、かんたんログイン対応サイトでも、ID発行時にパスワードを入力させることもある。

パスワードが短くて脆弱なのはユーザーの責任だが、固有IDによるかんたんログインの脆弱性はサイト側の責任と高木氏は指摘する。

Cookieは、現在の多くの携帯電話で利用できる機能だ。iモードブラウザ2.0以前のドコモの携帯で利用できない機種があるほかは、ほとんどがCookieに対応している。以前のドコモ端末だけCookieではない実装方法を行い、それ以外はCookieを有効にさせればいいわけだ。

もちろん、スマートフォン向けWebサイトは、PC用と同様のCookieを使ったやり方をすればいいし、スマートフォン向けアプリで認証を行う場合もCookieを利用すればいいと高木氏は言う。

折しも総務省は、携帯電話のSIMロック解除に関するガイドライン案において、「プライバシー上のリスクに対する取り組み」として、「利用者の意図しない名寄せ等のプライバシー上のリスクが増大する可能性がある」と指摘しており、固有IDの問題に触れている。

高木氏は、Cookieを使うなど「インターネットのやり方で不都合があるのか」と強調。「かんたんログイン言うなキャンペーン」と主張して、「かんたんログイン」という言葉が一人歩きし、従来の携帯以外でも利用されないように注視していきたい考えを示している。