「ケータイ・サイト(携帯電話向けWebサイト)には,通常のWebサイトに見られる脆弱性のほかに,ケータイ・サイト固有の脆弱性がある。セキュリティに対する油断も見られる。事件/事故が起きる前に,ケータイ・サイトの管理者はセキュリティを見直しておきたい」——。京セラコミュニケーションシステム(KCCS)ITプラットフォーム事業本部 インターネットビジネス事業部 副事業部長の徳丸浩氏は6月7日,IT Proの取材に対して,ケータイ・サイトのセキュリティの重要性を強調した。
ケータイ・サイトも一般のPC向けサイトと同じWebサイトである。このため,一般のWebサイトと同じように「『SQLインジェクション』や『パス乗り越え(ディレクトリ・トラバーサル)』といった攻撃(不正アクセス)を受ける可能性がある」(徳丸氏)。これらの攻撃を受けると,データベースの情報を盗まれたり,サーバー上で任意のコマンドを実行されたりする恐れがある。
ケータイ・サイト固有の問題としては,UIDやサブスクライバIDに関する問題が挙げられるという。これらを適切に取り扱えないと,セッション管理に失敗して「他人のユーザー情報を表示するなどしてしまう」(徳丸氏)。実際に,いくつかのケータイ・サイトでは事故が起きている。アクセスの集中時のみに発生するケースもあるので「通常のテストでは見逃しがちである」(同氏)
サイト運営者の油断もあるという。「キャリアのゲートウエイに守られていると思って,きちんと対策を施していないサイトが少なくない」(徳丸氏)。実際には,サイト側でアクセス制御を施していないために,PCからアクセス可能になっているサイトがある。「事実上,攻撃し放題になっている」(同氏)。
また,PCからアクセスできないようにしていても,携帯電話からは攻撃される可能性がある。ケータイ・サイトのWebアプリに脆弱性があれば,SQLインジェクションやパス乗り越えといった攻撃は携帯電話からも可能であるという。
加えて,ケータイ・サイトは,通常のサイトよりも短期間で構築することが求められる場合が多いという。このため,「負荷に関するテストは実施しても,セキュリティに関してチェックする時間は取れないケースが多い」(徳丸氏)。
「今のところ,ケータイ・サイトではそれほど大きなセキュリティ事故は起きていない。しかし,状況を見る限りでは,いつ起きても不思議ではないと思う。管理者は,ケータイ・サイトのセキュリティをチェックすべきだ。そして,不備がある場合には早急に見直すべき。顧客の情報漏えい事故などを起こしてからでは遅い」(徳丸氏)
同社ではサイバードと協業して,ケータイ・サイトの脆弱性診断サービスを2005年2月から提供している(関連記事)。料金は50万4000円(1サイト)から。このサービスは,同社が2004年6月から提供している「Web脆弱性診断サービス」を拡張したもの(関連記事)。併せて,脆弱性対策のコンサルティング・サービスも提供している。料金は155万4000円(1サイト)から。
◎参考資料
◆
サイバードと京セラコミュニケーションシステム,携帯電話向けWebセキュリティサービスの提供開始(プレスリリース)
(勝村 幸博=IT Pro)
