1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 携帯向け「クロネコメンバーズWebサービス」に脆弱性 他人の個人情報が閲覧できる状態に

携帯向け「クロネコメンバーズWebサービス」に脆弱性 他人の個人情報が閲覧できる状態に

ヤマト運輸は10月25日、同社の会員制サービス「クロネコメンバーズWebサービス」の携帯向けサイトに脆弱性があり、本人とは別のユーザーのページにログインでき、個人情報が閲覧できる状態にあったと発表した。

同サービスは、Webサイト上で荷物の集荷や再配達依頼を行えるというもの。脆弱性があったのは、携帯電話端末が持つ「契約者固有ID」を利用して認証を行う「かんたんログイン機能」(同サービスでは「クイックログイン機能」と表記)で、特定の操作を行った場合に、本人とは別のユーザーがログインできてしまう状態にあったという。現在はこの脆弱性は修正され、パスワードの入力が必要になっている。

かんたんログイン機能は、携帯電話端末ごとに固有の「契約者固有ID」を利用して認証を行う仕組みだ。携帯電話からWebサイトにアクセスする際にこのIDをWebサーバーに送信するため、携帯向けサイトはこのIDをもとに認証を行うことができる。しかし、「契約者固有ID」を認証に用いることについては、任意のIDを送信できる場合に「なりすまし」を完全に防ぐことができないとして、かねてより危険性が指摘されていた。

今回の事案では、iPhone上で携帯向けサイトを表示できるアプリを用いてアクセスを行った際に、意図せず「なりすまし」の状態になってしまったと報じられている。これは、一般のユーザーが通常の使用方法と想定して行った操作によってセキュリティ上の問題が露呈したことを示している。ヤマト運輸では今後もシステム的な対応を継続していくと表明しているが、この事件は多くの携帯向けサイトにおけるかんたんログイン機能のあり方に警鐘を鳴らしそうだ。

携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について(ヤマト運輸)
クイックログインに"穴"、ヤマト運輸の携帯Webサイトに脆弱性(ITmedia)
YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。(Moba Photo Life!!)
iPhoneで人の情報丸見え...閲覧ソフト原因(読売新聞)

関連キーワード:

かんたんログイン機能

契約者固有ID

  • 「情報セキュリティ安心相談窓口」を開設
  • カテゴリートップへ
  • PCI DSS バージョン2.0 翻訳版 の提供開始