「PCでは見えないはず」に頼ることの危険性:再考・ケータイWebのセキュリティ(1)(3/3 ページ)
ケータイWebの神話〜通常のWebに比べて安全か危険か
ここまで見てきた特性をセキュリティ上の安全性という観点からまとめてみましょう(表1)。
| 特性 | 漠然と信じられている「神話」 | 実際 |
|---|---|---|
| 携帯電話事業者のゲートウェイの存在 | 安全である | 適切な制限をかければ安全方向ではあるが過信は禁物 |
| Cookieに対応していないブラウザ | Cookieにはプライバシー上の問題があるので、対応していない方がいい | Cookieを適切に利用すればプライバシー上の問題はなく、Cookieがないことで危険になる |
| JavaScript非対応 | 安全である | JavaScript搭載端末は2009年10月末から再開されるので、JavaScript非対応ではなくなった |
| HTMLソースの表示機能がない | 安全である | HTMLソースを閲覧する方法が複数あり、安全とはいえない |
| 契約者固有IDの存在 | 手軽に認証ができて便利 | 使い方によっては、プライバシー上、セキュリティ上の問題が生じる |
| 手軽さを求める要求 | ケータイだから大丈夫 | 危険になる傾向 |
| 表1 ケータイWebに対する神話と実際 | ||
表をご覧いただければ分かるように、いままで漠然と考えられてきた「ケータイだから大丈夫」という感覚は、実は非常に心許ないものなのです。
ここまで見てきたように、ケータイWebの安全神話は、以下の2点を根拠として支えられてきたものです。
- ケータイWebが閉鎖的なサービスであった
- ケータイブラウザの機能が低かった
そして、これらが将来にわたって、いまのままであるとはいえないのです。今回の終わりにあたり、今後の展望について少し説明してみましょう。
今後もケータイは閉鎖的なネットワークを維持するのか
本連載では、iPhoneやAndroid端末は対象としないと書きましたが、これら海外で設計された携帯電話は、Wi-Fi(無線LAN)対応により、インターネットに直接接続する機能があります。このため、日本のケータイのような閉鎖的なネットワークを前提にしていませんし、PC向けサイトと同レベルのセキュリティ対策が必要です。
一方、日本型のケータイでも、Wi-Fiに対応した機種が登場しつつあります。NTTドコモは昨年からWi-Fi対応機種(N906iL onefoneおよびN-06A)を販売しており、KDDI(au)は2009年の夏モデル、biblioにてWi-Fiに対応しました。これらはいずれも、Wi-Fi接続時にも、従来型のケータイインターネット(iモード、EZweb)が利用できることが特徴です。
これを実現するために、国産のWi-Fiケータイは、端末から直接インターネットに接続するのではなく、いったん事業者のゲートウェイを通るように構成されています。すなわち、Wi-Fi利用であっても、閉鎖的なネットワークは維持されています。このように、当面は閉鎖的なネットワークは維持されると思われますが、将来については分かりません。この問題については第4回(最終回)で再度触れる予定です。
iモードブラウザ2.0〜従来型ケータイの進化
ケータイWebの機能強化については、iモードブラウザ2.0が挙げられます。これは、先にも触れたように、NTTドコモの2009年の夏モデル以降に搭載されるブラウザを指します。
iモードブラウザ2.0では、先に説明したJavaScriptのほかに、CookieとRefererに対応したことにより、機能的にはほぼフルのPCブラウザと同等の仕様になりました。
これによるセキュリティ上の影響としては、やはりJavaScriptが大きいと考えられます。現状ではJavaScriptは停止された状態ですが、2009年10月末から段階的に再開されるとのアナウンスがありましたので、サイト側でもその対応を急ぐ必要があります。
といっても、特別なことをしなければならないわけではありません。PC用の通常のサイトと同じように、クロスサイトスクリプティング(XSS)対策をしておけばよいのです。JavaScriptが搭載される前から、XSS対策が不要というわけではなかったのですが、現実には、前述のようなケータイWebの「安全神話」により、十分にXSS対策していないサイトが多数あります。しかし今後はそのような「手抜き」に対する危険度が増加するため、一般のPCサイトと同じレベルでXSS対策を実施するべきでしょう。
【関連記事】
Security&Trustウォッチ(47)Webアプリケーションを作る前に知るべき10の脆弱性
http://www.atmarkit.co.jp/fsecurity/column/ueno/47.html
第1回では、ケータイWebのセキュリティを解説するための準備として、ケータイWebの特性を説明しました。日本のケータイWebは、事業者のゲートウェイに守られた閉鎖的なネットワークを持つという特徴があり、その特徴に依存したサイトの作り方が広く行われています。しかし、サイトの作り方によっては大きな危険性があることと、将来ネットワークやケータイブラウザの仕様が変化した場合に、新たな危険が生まれることを説明しました。NTTドコモが2009年の夏モデルで発表したiモードブラウザ2.0はその一例であり、サイト作成者側でも、現状と将来のリスクに備えたサイト開発が要求されます。
次回は、ケータイWebアプリケーションの認証、特に「かんたんログイン」の問題について説明します。
筆者紹介
京セラコミュニケーションシステム株式会社
プラットフォーム事業本部 技術顧問
HASHコンサルティング株式会社
代表取締役
徳丸 浩(とくまる ひろし)
1985年京セラ株式会社入社、1995年京セラコミュニケーションシステム株式会社(KCCS)転籍、2008年HASHコンサルティング株式会社設立。現在、京セラコミュニケーションシステム株式会社 プラットフォーム事業本部 技術顧問を兼務。システム開発の経験を経て、2004年からWebセキュリティのサービスを開始。特にケータイWebサイトのセキュリティについては早くから着眼し、多くの講演、寄稿を手がける。
HASHコンサルティングを立ち上げてからは、企業のWebサイト開発のコンサルティングなどにも幅広く携わる。
最近、特に注目されているWAFについては、多くの実証実験を手がけ、自身のブログでもWAFについての見解を述べている。
▼徳丸浩の日記
http://www.tokumaru.org/d/
▼KCCSセキュリティサイト
http://www.kccs.co.jp/security/index.html
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。