wataridori.net - モノとグルメと旅のブログ - » 情報漏洩 http://wataridori.net wataridori.netでは、モノ・グルメ・旅など新しいコト好きの管理者がマジメに発信。グルメといってもB級グルメが中心です。昔はArcadiaという阪神タイガースとMIDIのサイトを運営していました。 Tue, 13 Jul 2010 05:59:00 +0000 http://wordpress.org/?v=2.9.1 ja hourly 1 最新29機種ドコモ携帯、個人情報流出の恐れ http://wataridori.net/archives/2010/01/235/ http://wataridori.net/archives/2010/01/235/#comments Tue, 12 Jan 2010 12:56:27 +0000 masatomo http://wataridori.net/?p=235 Yahoo!トップページのニュースより。

http://www.yomiuri.co.jp/net/news/20100112-OYT8T01018.htm?from=yoltop

NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。

同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。

高機能ソフトを悪用

該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。

悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることが できる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしまう。情報通信機器の安全管理を手がける「HASHコン サルティング」(横浜市)が、こうした悪用が起きうることを、実験で確かめた。被害はまだ確認されていない。

ドコモを含む各社の携帯電話には、1台ごとに割り当てられた「利用者ID」だけで携帯用サイトに認証され、手動入力を省略できる機能がある。今回 判明した危険は、この機能にジャバスクリプトが加わることで生まれた。会員サイトが利用者IDに頼らず、パスワードの確認入力を求めれば、悪用を防げる。 利用者側も、パスワード確認を求めないサイトなどには、個人情報を気軽に書き込まないよう注意が大切だ。

NTTドコモでは、公式サイトを運営する約3000社には注意喚起したが、それ以外の無数にある「勝手サイト」には「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」という。

産業技術総合研究所情報セキュリティ研究センターの高木浩光主任研究員は、「利用者IDがあらゆる携帯サイトに自動で送られ、認証に使われる仕組みは問題だ」と指摘している。

iモードブラウザ2.0の搭載機種

F‐01B、F‐02B、F‐03B、F‐04B、F‐08A、F‐09A、L‐01B、N‐01B、N‐02B、N‐03B、N‐06A、 N‐07A、N‐08A、N‐09A、P‐01B、P‐02B、P‐03B、P‐07A、P‐08A、P‐09A、SH‐01B、SH‐02B、 SH‐03B、SH‐04B、SH‐05A、SH‐05B、SH‐06A、SH‐06A NERV、SH‐07A

携帯の「安全神話」危うく

携帯電話はこれまで、パソコンのようなウイルス被害や大規模な個人情報流出とは無縁と考えられてきた。特に日本では携帯電話会社の専用網を経由して携帯サイトに接続するため、海外からの攻撃にもさらされにくいとされた。

パソコンに比べ端末の能力が限定されていることも安全面では有利に働いていたが、高機能化とともに「安全神話」は崩れつつある。悪意あるプログラムも作動するようになるからだ。

だが携帯サイト側に危機意識は薄い。京セラコミュニケーションシステムが2008年に44サイトの安全性診断を行ったところ、本人確認などの手続きが甘くて情報流出の危険が高いサイトは、55%に上った。

総務省によると、08年末時点で携帯電話会社が公認したサイトだけで約1万9000。その他の「勝手サイト」はそれ以上と考えられる。だが携帯電 話会社が技術情報の開示に消極的なことから、サイト側との情報共有が進まず、結果的に危険が野放しになっている。産業技術総合研究所情報セキュリティ研究 センターの高木浩光主任研究員は「多くの関係者が技術情報を議論し、安全性を高める必要がある」と話している。(科学部 吉田典之)

2010年1月12日 読売新聞)

検索してみるとこの件は昨年秋から話題になっていたようで、多くのサイトがヒットする。
よくメディア(新聞)で気になるのだが、こんな枯れた今更なニュースをたまに目にすることがある。
単なるネタ切れなのだろうか??それともライバルの他キャリア絡み??

とりあえず自分の持っているSH-04Aはセーフ・・・

iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について | ke-tai.org

]]> http://wataridori.net/archives/2010/01/235/feed/ 0 アメーバブログのパスワード流出事件 http://wataridori.net/archives/2010/01/137/ http://wataridori.net/archives/2010/01/137/#comments Fri, 01 Jan 2010 14:50:18 +0000 masatomo http://wataridori.net/?p=137 今朝、2010年に入ってすぐ起きた、アメブロの芸能人ブログのID/PASS漏洩事件。
運営元のサイバーエージェントでのプレスリリース。
http://www.cyberagent.co.jp/pdf/2010/0101.pdf

「Ameba」オフィシャルブログ、不正アクセス被害について
株式会社サイバーエージェント(本社:東京都渋谷区、代表取締役社長CEO:藤田晋、東証マザーズ上場:証券コード4751)が運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。また同時に、オフィシャルブログのID、パスワード約 450件等を記述したエクセルファイルが外部に流出したことを確認しております。当社は、本不正アクセスに関して迅速に対応するため緊急対策チームを結成し、流出したパスワードを本日正午までに変更するなど、対応策を実施しております。また合わせて、渋谷警察署に被害状況の報告及び関連資料を提出しており、早急に流出経路含め、原因追究に努めてまいります。

・・・一切お詫びの文言がない。これって完全に被害者ぶってるけど、同社の管理体制にも問題があるんじゃない?
自社が提供するサービスで被害を受けた利用者がいたんだから、まずは運営企業としてお詫びすべきだろう。

まさに何でも他人のせいにしている典型的な例だろう。

]]> http://wataridori.net/archives/2010/01/137/feed/ 0