検索
連載

「PCでは見えないはず」に頼ることの危険性再考・ケータイWebのセキュリティ(1)(3/3 ページ)

“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部)

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

ケータイWebの神話〜通常のWebに比べて安全か危険か

 ここまで見てきた特性をセキュリティ上の安全性という観点からまとめてみましょう(表1)。

特性 漠然と信じられている「神話」 実際
携帯電話事業者のゲートウェイの存在 安全である 適切な制限をかければ安全方向ではあるが過信は禁物
Cookieに対応していないブラウザ Cookieにはプライバシー上の問題があるので、対応していない方がいい Cookieを適切に利用すればプライバシー上の問題はなく、Cookieがないことで危険になる
JavaScript非対応 安全である JavaScript搭載端末は2009年10月末から再開されるので、JavaScript非対応ではなくなった
HTMLソースの表示機能がない 安全である HTMLソースを閲覧する方法が複数あり、安全とはいえない
契約者固有IDの存在 手軽に認証ができて便利 使い方によっては、プライバシー上、セキュリティ上の問題が生じる
手軽さを求める要求 ケータイだから大丈夫 危険になる傾向
表1 ケータイWebに対する神話と実際

 表をご覧いただければ分かるように、いままで漠然と考えられてきた「ケータイだから大丈夫」という感覚は、実は非常に心許ないものなのです。

 ここまで見てきたように、ケータイWebの安全神話は、以下の2点を根拠として支えられてきたものです。

  • ケータイWebが閉鎖的なサービスであった
  • ケータイブラウザの機能が低かった

 そして、これらが将来にわたって、いまのままであるとはいえないのです。今回の終わりにあたり、今後の展望について少し説明してみましょう。

今後もケータイは閉鎖的なネットワークを維持するのか

 本連載では、iPhoneやAndroid端末は対象としないと書きましたが、これら海外で設計された携帯電話は、Wi-Fi(無線LAN)対応により、インターネットに直接接続する機能があります。このため、日本のケータイのような閉鎖的なネットワークを前提にしていませんし、PC向けサイトと同レベルのセキュリティ対策が必要です。

 一方、日本型のケータイでも、Wi-Fiに対応した機種が登場しつつあります。NTTドコモは昨年からWi-Fi対応機種(N906iL onefoneおよびN-06A)を販売しており、KDDI(au)は2009年の夏モデル、biblioにてWi-Fiに対応しました。これらはいずれも、Wi-Fi接続時にも、従来型のケータイインターネット(iモード、EZweb)が利用できることが特徴です。

 これを実現するために、国産のWi-Fiケータイは、端末から直接インターネットに接続するのではなく、いったん事業者のゲートウェイを通るように構成されています。すなわち、Wi-Fi利用であっても、閉鎖的なネットワークは維持されています。このように、当面は閉鎖的なネットワークは維持されると思われますが、将来については分かりません。この問題については第4回(最終回)で再度触れる予定です。

iモードブラウザ2.0〜従来型ケータイの進化

 ケータイWebの機能強化については、iモードブラウザ2.0が挙げられます。これは、先にも触れたように、NTTドコモの2009年の夏モデル以降に搭載されるブラウザを指します。

 iモードブラウザ2.0では、先に説明したJavaScriptのほかに、CookieとRefererに対応したことにより、機能的にはほぼフルのPCブラウザと同等の仕様になりました。

 これによるセキュリティ上の影響としては、やはりJavaScriptが大きいと考えられます。現状ではJavaScriptは停止された状態ですが、2009年10月末から段階的に再開されるとのアナウンスがありましたので、サイト側でもその対応を急ぐ必要があります。

 といっても、特別なことをしなければならないわけではありません。PC用の通常のサイトと同じように、クロスサイトスクリプティング(XSS)対策をしておけばよいのです。JavaScriptが搭載される前から、XSS対策が不要というわけではなかったのですが、現実には、前述のようなケータイWebの「安全神話」により、十分にXSS対策していないサイトが多数あります。しかし今後はそのような「手抜き」に対する危険度が増加するため、一般のPCサイトと同じレベルでXSS対策を実施するべきでしょう。

【関連記事】
Security&Trustウォッチ(47)Webアプリケーションを作る前に知るべき10の脆弱性
http://www.atmarkit.co.jp/fsecurity/column/ueno/47.html

 第1回では、ケータイWebのセキュリティを解説するための準備として、ケータイWebの特性を説明しました。日本のケータイWebは、事業者のゲートウェイに守られた閉鎖的なネットワークを持つという特徴があり、その特徴に依存したサイトの作り方が広く行われています。しかし、サイトの作り方によっては大きな危険性があることと、将来ネットワークやケータイブラウザの仕様が変化した場合に、新たな危険が生まれることを説明しました。NTTドコモが2009年の夏モデルで発表したiモードブラウザ2.0はその一例であり、サイト作成者側でも、現状と将来のリスクに備えたサイト開発が要求されます。

 次回は、ケータイWebアプリケーションの認証、特に「かんたんログイン」の問題について説明します。

筆者紹介

京セラコミュニケーションシステム株式会社
プラットフォーム事業本部 技術顧問

HASHコンサルティング株式会社
代表取締役

徳丸 浩(とくまる ひろし)

 1985年京セラ株式会社入社、1995年京セラコミュニケーションシステム株式会社(KCCS)転籍、2008年HASHコンサルティング株式会社設立。現在、京セラコミュニケーションシステム株式会社 プラットフォーム事業本部 技術顧問を兼務。システム開発の経験を経て、2004年からWebセキュリティのサービスを開始。特にケータイWebサイトのセキュリティについては早くから着眼し、多くの講演、寄稿を手がける。

HASHコンサルティングを立ち上げてからは、企業のWebサイト開発のコンサルティングなどにも幅広く携わる。

最近、特に注目されているWAFについては、多くの実証実験を手がけ、自身のブログでもWAFについての見解を述べている。

▼徳丸浩の日記
http://www.tokumaru.org/d/

▼KCCSセキュリティサイト
http://www.kccs.co.jp/security/index.html



Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  4. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  5. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  6. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  7. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  8. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  9. 2024年10月現在で「過度な期待」をされているセキュリティ技術は何? ガートナーがハイプ・サイクルを発表
  10. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
ページトップに戻る