Enterprise Watch
最新ニュース

ケータイ向けサイトからの情報漏えいに注意を

KCCSとサイバードが診断サービスを実施

 「意外でしょうが、ケータイ向けサイトがセキュリティの穴になっています」、そう語るのは、京セラコミュニケーションシステム株式会社ITプラットフォーム事業本部インターネットビジネス事業部 副事業部長の徳丸浩氏。同社はサイバード株式会社とともに、今年2月よりケータイ向けサイトのセキュリティサービスを開始している。このサービスでは、企業のケータイ向けサイトの脆弱性を診断しているのだが、ほとんどのサイトに脆弱性が存在しているという。実際、4月27日には、テレビ朝日のケータイ向けサイト「テレ朝コンプリート」で個人情報が漏えいするという問題がおきたことが公表されている。ケータイ向けサイトの脆弱性とは一体どのようなものなのか、徳丸氏に話を伺った。


キャリアのゲートウェイに守られていても安全ではない

京セラコミュニケーションシステム株式会社ITプラットフォーム事業本部インターネットビジネス事業部 副事業部長の徳丸浩氏
 Webアプリケーションに対する攻撃方法には、SQLデータベースに対し外部からコマンドの挿入や実行が行えるSQLインジェクションや、外部からOSのコマンドの挿入や実行が行えるOSコマンドインジェクションといった入力パラメータの操作などが存在する。「こうした問題はファイアウォールやSSLなどでは守れないもの。SSLだから大丈夫と考えるのは誤解」と徳丸氏は指摘する。

 これらの攻撃はPCサイトに限らず、ケータイ向けサイトでも同様に起こりうる。「携帯電話の場合、公式サイトはキャリア経由でアクセスすることから、大丈夫とおもわれているようだ。しかし、ケータイ向けサイトはPC向けサイトと同様にHTMLやそれに類する言語で記述され、HTTPプロトコルでアクセスされている。つまり、基本的な条件は同じであることを理解してほしい」と、セキュリティの考え方はPCでも携帯電話でも同じである点をあらためて強調した。特にキャリアのゲートウェイに守られているといったセキュリティ上の過信や油断が危険だと徳丸氏は警告する。

 ケータイ向けサイトで起こりうる脆弱性の一例として、情報の管理方法による問題を徳丸氏は指摘する。「たとえば、セッション管理の方法で脆弱性が起こりうる。ショッピングサイトの場合、バスケットの内容をcookieを使って管理する場合が多いが、NTTドコモの端末ではcookieが使えない。PHPやJavaであれば別の方法で対応できるが、WindowsのASP(Active Server Pages)ではcookieしか対応していないため、開発者がみずからショッピングバスケットを作ることになり、ここに脆弱性が生まれる」と、携帯電話独自の問題の対処法から脆弱性が生まれることがあると説明する。

 また、プログラムの問題だけでなく、開発体制などにも問題がおきる要因があるという。「開発者は意外に脆弱性のことを知らないため、対策が行われていない。また、携帯電話でわざわざ不正アクセスは行わないだろうという油断もある」と、サイトに対する意識の問題も大きいと徳丸氏は指摘する。


ほぼ100%のケータイ向けサイトで脆弱性を発見

ケータイ向けコンテンツの種類と不正アクセス手法による危険度チェック表
 同社はこうしたケータイ向けサイトの脆弱性を診断するサービスを、株式会社サイバードと協業して2月から行っている。きっかけは、昨年8月の携帯電話向けWebサイトの脆弱性診断に関する共同研究を開始したことにある。「実験してみると、脆弱性がたくさん出てきた。また、4月には個人情報保護法が本格施行されるなど、携帯電話でもセキュリティ対策が必要であると考え、サイバードと共同で診断サービスを開始した」と、徳丸氏は説明する。

 この診断サービスは、ケータイ向けサイトの診断を行う「Web脆弱性診断サービス」、サイトの脆弱性対策のコンサルテーションを行う「Web脆弱性防御サービス」、開発者向けの教育および開発プロセスのコンサルティングを行う「教育/コンサルテーション」の3つにより構成されている。また、Web脆弱性診断サービスは、検査項目によりLight、Standard、Advancedの3つのメニューが用意されている。「Lightはリモートでサイトにアクセスして診断を行う検査のみ。Standardは検査に加えて、重要ポイントの抜き取り検査やツールによる網羅的な検査を実施。Advancedでは、Standartの検査に加えて、ソースコード診断を実施する。大きな特長は、機械的な診断ではなく、手作業で診断する点にある」と徳丸氏は述べる。

 これまで、ショッピングサイトやアンケートなど、個人情報を取り扱う企業を中心に診断サービスを利用しており、ほぼ100%の企業のサイトに脆弱性が見つかっている。「サービスを利用した企業からは、やってよかったといっていただけるが、複雑な気分」(徳丸氏)。なお、診断サービスの結果は100点満点で評価しているが、診断を受けた企業の平均は30点くらいという。

 PCに比べて携帯電話は顧客へのリーチが強いことから、今後携帯電話で買い物をする人が増えるのではないかと徳丸氏は指摘する。「携帯電話にもセキュリティのリスクはある。打てる対策は打ったほうがよい」とケータイ向けサイトのセキュリティ対策の必要性を訴えた。



URL
  京セラコミュニケーションシステム株式会社
  http://www.kccs.co.jp/
  ニュースリリース
  http://www.kccs.co.jp/press/release/050125.html


( 福浦 一広 )
2005/04/28 14:02

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.