1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 徳丸 浩氏に聞く「セキュリティ意識の高め方」(前編)

徳丸 浩氏に聞く「セキュリティ意識の高め方」(前編)(2/3)

「技術面」「環境面」から考える携帯電話のセキュリティ問題

★携帯電話の認証課金基盤をご担当されていたということですが、携帯電話のセキュリティというのはWebとは違う特徴がありますか?

 そうですね。大きく「技術的な側面」「環境的な側面」の2点あると思います。まず技術的側面としては、携帯電話のブラウザは、歴史的にiモードの仕様がベースになっており、今は使えるようになりましたが、CookieやJavaScriptが使えないといった制約がありました。例えば、Webでは標準的な手法であるCookieを用いたセッション管理が携帯電話では行えなかったわけですが、当時は、そうした制約下でも許容できる範囲内で安全なWebアプリケーション開発手法が確立されていました。

★そうした前提が変わってきたのはいつ頃からですか?

 リスクとして顕在化してきたのが2008年頃だと思います。携帯電話端末が持つ「契約者固有ID」を利用して認証を行ういわゆる「かんたんログイン問題」です。これは、携帯電話端末ごとに固有のIDを利用して認証を行う仕組みで、携帯電話からWebサイトにアクセスする際にこのIDをWebサーバーに送信し、携帯向けサイトはこのIDをもとに認証を行うというものです。一昔前は、いわゆる公式サイトと呼ばれるコンテンツだけが、キャリアが提供する仕様に沿って「契約者固有ID」を認証に使っていたわけですね。

徳丸 浩:「技術面」「環境面」から考える携帯電話のセキュリティ問題

★そうした認証方式が一般のサイトにまで広がっていきました。

 一般のサイトも、「契約者固有ID」を用いた認証方式を使いたいという圧力が高まって、ついに各キャリアがIDの仕様を公開していくことになります。しかし、この頃から、認証方式として非常にセキュリティ上問題の多いことや、「なりすまし」を完全に防ぐことができない脆弱性のあることがネットなどで公開されるようになったのです。

★では、環境面での特徴という点ではいかがでしょうか?

 大きな特徴は、携帯電話の多くは、携帯電話ブラウザからのみアクセスを許可しているという点です。具体的には、通信時にキャリアのゲートウェイを必ず通るので、サイト側は、公開されたIPアドレスのみ通信を受けつけています。その結果、仮にセキュリティ上、抜け道があったとしても、携帯電話からしかアクセスできないということは、攻撃者は携帯電話を使わなければ攻撃できないということを意味します。サイバー攻撃の多くは海外からということを考えれば、このことは、現実的には安全性に寄与すると思います。一方で、このことは、コンテンツ開発のエンジニアがセキュリティに無頓着になるという弊害を生みました。

★技術者のセキュリティ意識が問題であると。

 携帯電話のコンテンツを作っていたエンジニアが今何を作っているかというと、多くはスマートフォン向けのアプリやサーバー側のAPIなどを開発しているわけですね。スマートフォンは、パソコンに近いオープン性を持ったツールなので、従来の携帯電話よりもパソコンと同じくらいのセキュリティ対策が必要です。スマートフォンの爆発的な普及に伴い、スマートフォンのアプリを開発する技術者のセキュリティレベルの向上というのが非常に重要だという問題意識を持っています。

関連キーワード:

IPA

SQLインジェクション

Twitter

かんたんログイン

スマートフォン

契約者固有ID

徳丸浩