ヤマト運輸は10月25日、同社が提供する携帯電話向けWebサイト「クロネコメンバーズのWebサービス」に脆弱(ぜいじゃく)性が見つかったことを明らかにした。他人の会員ページにログインして、個人情報を閲覧できる状態が続いていた。現在では対処済み。
同サービスでは、ユーザー登録をすれば、集荷や再配達などを携帯電話で依頼できる。今回、このサービスで採用している「クイックログイン機能」に問題が見つかった。
これは、パスワードを入力しなくても会員ページにログインできる機能。この機能では、携帯電話機1台1台に割り振られた「契約者固有ID」を使って、正規のユーザーかどうかを判断していた。契約者固有IDは、Webサイトにアクセスすると携帯電話のWebブラウザーから自動的に送信される。問題のサイトでは、送られてきたIDが登録ユーザーのIDと一致すれば、自動的にログインさせていた。
契約者固有IDは携帯電話上では変更できない。しかしながら、パソコンやスマートフォンからは、任意の契約者固有IDを送信できる。このため、契約者固有IDだけで正規のユーザーかどうかを判断するのは危険だとされている。
問題のサイトは、まさにこのケースに該当する。今回の脆弱性は「iPhone」ユーザーによって発見された。発見者の情報によれば、iPhoneで動作する、任意の契約者固有IDを送信できるアプリを使って同サイトにアクセスしたところ、他人の会員ページが表示されたという。
ただし、iPhoneやこのアプリが問題なのではない。問題があったのはあくまでもWebサイトである。iPhone以外のスマートフォンやパソコンからも“盗み見”は可能だった。同社では、少なくとも1人の登録ユーザーの会員ページに、2人の別ユーザーがログインしたことを確認したと発表している。
今回の問題を受けて同社では、10月19日にクイックログイン機能を停止。10月25日からは、パスワードを入力しないとログインできないように修正した。
