2010年6月12日

iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ

先にこちらからご参照下さい iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PM 「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz 登場人物紹介: @miyakawa11 : 宮川潤一氏 / ソフトバンクモバイル 取締役専務執行役 CTO @HiromitsuTakagi : ひろみちゅたん あらすじ: 「セキュリティには自信あり。詳細は内緒だけど続きを読む先にこちらからご参照下さい iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PM 「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz 登場人物紹介: @miyakawa11 : 宮川潤一氏 / ソフトバンクモバイル 取締役専務執行役 CTO @HiromitsuTakagi : ひろみちゅたん あらすじ: 「セキュリティには自信あり。詳細は内緒だけど信じて下さい!」→「簡単にUDID偽装できましたが・・」→「IDとパスを人に教えたのと同じだから何の問題でもないよ!」→外野「・・・何だったの、あの自信は。これってナチュラル?高度な目眩まし戦術?」 企業リスクマネージメントにおけるおおよそ想像できる最悪のシナリオを辿るソフトバンクモバイルCTO。今後の展開から目が離せません。 因みに宮川氏が(暗に)言うようにUDIDは秘密情報じゃないとすると他人のUDIDを使用したところで不正アクセス防止法にひっかからなくなる「かも知れない」ところがミソ。 個人的には、あれだけのやり取りは結局ナチュラルだったんだなあ、でないと戦術でこの反応はなかなか演技できないよなぁと思わざるを得ません。。。 微妙に関連URL: カカクコムは情報をきちんと公開すべきだ - 記者の眼:ITpro http://bit.ly/a3Qjo8 今回との違いは高木さんが善意の第三者だったことと情報を提示してくれていることぐらいか。 iPad購入者のアドレス流出、原因はWebアプリケーションの脆弱性か - ITmedia エンタープライズ http://bit.ly/d2cy3b 情報セキュリティ基本方針 | ソフトバンクモバイル株式会社 http://bit.ly/9kmBsP 今後も動きあり次第更新する予定です 【追記】(2010/06/12) 午前の早い時間帯に当面の対策としてポイント履歴の閲覧を停止したとのことです 【追記】(2010/7/3) UDIDを廃止してランダムIDを採用した電波チェッカーが公開されました。登録した位置情報の削除にも対応しているようです。 紆余曲折ありつつも結果的には大団円となりました。
udid ソフトバンク プライバシー 高木浩光 softbank iphone 宮川潤一 電波チェッカー
rocaz 44428view 13コメント
64
ログインして広告を非表示にする
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:08:18
    @miyakawa11 実際にUDIDがあればその人の登録位置情報を地図上で閲覧できてしまうことを確認しました。知人のiPhoneに私のUDIDをセットして電波チェッカーを起動したところ、私の自宅等の位置が現れました。位置情報漏洩の欠陥ですのでIPA脆弱性届出窓口に届け出ました。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:11:27
    @miyakawa11 再現手順はここには書きませんが、JPCERT/CC経由でそちらに連絡が行くと思います。迅速なハンドリングが可能なように、同じ情報を SBCSIRT http://www.nca.gr.jp/member/sbcsirt.html にも連絡します。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:16:32
    @miyakawa11 アプリの修正方法についてですが、最初に申し上げたように、アプリ初回起動時に乱数で十分に長い専用のIDを生成してそれを記憶し、次回以降そのIDを送信して使用する設計にするのが正しいです。再インストールで消えることがあってもこの用途のアプリなら十分なはずです。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:21:37
    @miyakawa11 原理的に不可能なことを実現しようとなさったことをご理解ください。伝統的な日本式ケータイで「ユーザID」による認証が行われてきたのは、それがゲートウェイ付与型のIDだからであって、UDIDのような端末付与型の公開IDで同様のことをしようとしても不可能です。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:26:18
    @miyakawa11 もちろん、iPhoneのMACアドレスを使うなどということはなさらないでください。シリアルナンバーや、IMEI番号、ICCIDについても使用しようなどとお考えにならないでください。海外でもこれらを使用したことによるトラブルが起き始めているようです。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:34:12
    @miyakawa11 日本では一昨年のiモードID送信開始以降ケータイIDによるWeb実装が急速に広がりましたが、そうしたやり方に染まってしまった技術者らが、スマートフォンでも同じようにできるとの思い込みから、今回と同様の欠陥アプリを作ってしまう事例がポツポツと出始めています。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:45:38
    @miyakawa11 そのような状況において、携帯電話事業者が自らこのような欠陥方式のソフトウェアを提供していくことは、同様の方法で認証が実現できるものという誤った理解を、全国の一般の事業者らにまで広げてしまう危険があり、社会的に由々しき事態であると考えております。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 21:50:47
    @miyakawa11 本来ならば、携帯電話事業者は、自社の製品ないしサービスを用いた認証の実現に関して、安全な技術方式の要件を取りまとめて、一般事業者向けに提供し、解説していく立場にあるはずと考えます。今回の件を契機に、御社が今後そうした取組をなさることに期待します。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-11 22:08:22
    @miyakawa11 今回のことで、iPhoneにも日本式ケータイID(ゲートウェイ付与型契約者ID)を導入しようなどと、けっしてお考えにならないよう切に願います。そのような方式は海外では必ず拒絶されます。日本だけ独自の方式を広めていくことは後々に必ず首を絞めることになります。
  • 宮川 潤一 @miyakawa11 2010-06-11 23:57:15
    @HiromitsuTakagi お合いしましょう、メールでやり取りしましょうとお誘い致しましたが、Twitterが余程お気に入りのようですね。
  • 宮川 潤一 @miyakawa11 2010-06-12 00:01:32
    @HiromitsuTakagi 行った行為は、 自身のiPhoneのUDIDを知人のiPhoneにセットして行った?通常のIDとパスワードを知人に教えてログインできるかを試しているのと同じですね。
  • 宮川 潤一 @miyakawa11 2010-06-12 00:05:51
    @HiromitsuTakagi 色々ご助言有難うございます。今後の参考に致します。
  • 宮川 潤一 @miyakawa11 2010-06-12 00:11:35
    @HiromitsuTakagi 今後の検討と致します。但し皆様が誤解なさると不安になるので最後に一言、UDIDは個人情報に紐つくものではありません。
  • 宮川 潤一 @miyakawa11 2010-06-12 01:03:09
    @HiromitsuTakagi 別の端末のUDIDを組み込むこと、皆さん簡単そうだと誤解されちゃってます。OSレベルのクラックを行ったのですかね?Takagiさんのようなレベルの方なら可能?
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-12 01:16:00
    @miyakawa11 既存のソフトウエアだけで可能でした。具体的な手順は、修正されていない現時点では、書きません。御社グループのCSIRTにご相談なさることをお勧めします。
  • 宮川 潤一 @miyakawa11 2010-06-12 01:40:34
    @HiromitsuTakagi それでは一つ相談。圏外登録の場所を改善されたと表示して見せてあげようと思って認識をしていますが、これは一方通行に変更すべきですかね?そうすれば何も識別する必要無いし。
  • 宮川 潤一 @miyakawa11 2010-06-12 02:22:38
    機能追加で欲張ったかな?圏外登録のみに変更しましょう。 「圏外登録済☞改善☞表示」は明日中に削除、改善状況のフィードバック方法は再考し、HPアップのみに。お客様が少しでも不安と感じられるのは反省。
  • 宮川 潤一 @miyakawa11 2010-06-12 09:27:15
    暖かなお言葉有難うございます。方々のご専門家に鍛えられるのも、道場と思えば明日また楽しです。日々精進。 RT @orikosanba: @miyakawa11 世の中には色んな考えの方がいますね。。やり取り見ていて心が寂しくなりますね。ユーザーの事を考えてる姿は応援します!
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-12 09:55:43
    最初に申し上げた「アプリ初回起動時に乱数で十分に長い専用のIDを生成して、それを記憶し、次回以降そのIDを送信して使用」する方式を用いた設計であれば、その機能も実現できます。 QT @miyakawa11 …圏外登録の場所を改善されたと表示して見せてあげようと思って…
  • 宮川 潤一 @miyakawa11 2010-06-12 10:02:52
    @HiromitsuTakagi 検討してみます。因みに、朝8時に戻しの仕様は削除完了しました。根本改造はUPデートにて対応します。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-12 10:25:43
    電波チェッカーで既登録位置情報の閲覧ができなくなったことを確認しました。必要な措置の迅速なご対応に敬意を表します。既存のUDIDで登録された位置情報の閲覧ができなくなるのは不可避でやむを得ない措置と思います。QT @miyakawa11 …朝8時に戻しの仕様は削除完了しました。…
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-12 11:14:46
    @miyakawa11 なお、乱数で専用IDを生成する際には、暗号論的擬似乱数生成器(cryptographically secure PRNG)を使用する必要があるのでご注意ください。推測不可能性と無衝突性が求められます。メルセンヌツイスター等は使えません。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-12 11:18:33
    @miyakawa11 乱数生成は端末側アプリで行ってもよいのですが、利用できる擬似乱数の暗号論的安全性に不安がある場合には、サーバ側で生成して端末の初回接続時に与える方法でもよいでしょう。無衝突性は所詮は確率上の問題ですが、不安ならば無重複確認処理を入れることもできるでしょう。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-13 00:21:07
    @miyakawa11 付け加えますと、最初に「乱数で専用のIDを」の代替案を申し上げたとき「誤削除等で再インストールした際に…」とのことでしたが、逆に、専用ID記憶方式なら、iTunesのバックアップ機能によって、端末の買い替え時にそのままデータ移行できる利点があるはずです。
  • Hiromitsu Takagi @HiromitsuTakagi 2010-06-13 00:35:44
    @miyakawa11 (続き)むしろ、端末を買い替えると継続利用できなくなるというUDID(端末ID)使用方式の方が、ユーザエクスペリエンス的によろしくないいように思うのですが、日本のケータイ界は、そうした不幸なユーザーエクスペリエンスに対して不感症になっているのでしょうか。

コメント

  • ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010-06-12 05:53:43
    結局、NDAを結ばないとならないほど商売の種になる画期的なセキュリティシステムは無かったのか!
  • mamasan12_cm @mamasan12_cm 2010-06-12 09:23:53
    1.性癖占いや恋愛占い等のアプリ(UDID送信あり)&サーバをつくる。2.無料で公開する。3.UDID収集する。4.それを用いて位置情報チェック。かな? 性別等のアプリ入力情報を「悪意ある開発者に位置情報と紐づけられて」参照されることを、気味悪いと思うかどうか。
  • rndrndrnd @rndrndrnd 2010-06-12 10:42:03
    宮川さんに「認識が根本的に間違ってますよ」と指摘できる部下はいないのだろうか……
  • だんじだずむ@消費税増税反対 @danzidasm 2010-06-12 11:37:10
    snmp community stringをホイホイ教えて「なんで?どうしてこれが秘密なの?アクセスできなきゃ問題ないじゃんか」とか逆ギレしてる新人君みたいなもん。こういう種類のHEは、指摘できる能力や立場にあった人が何もしなかったことに99%の原因がある。まぁ、被害にあいそうな人は、運が悪かったと思って諦めれ。
  • ぼんぼ (男汁100%) @tm_bonvo 2010-06-12 11:49:39
    「技術的な質問について、CTOが適当なことを自信たっぷりに回答したらやっぱり間違いでした」という、ベタな結果に。つまらん。でもまあ、対応が素早いのは流石SBM。
  • 空弁者 @scavenger0519 2010-06-12 13:02:26
    > よっぽどツイッターがお好きなようですね < なんと言う失礼な言い方!なんと言う皮肉な言い方! 
  • 空弁者 @scavenger0519 2010-06-12 13:04:28
    高木さんは会話の内容を世間に知らせたい。宮川さんはSBにとってまずい事があるかも知れぬと密室で会話したい。そういうことね。
  • Cophei @Cophei 2010-06-12 15:32:07
    RT @otsune: iPhone UDIDを個人識別につかっちまう「ケータイ脳の過ち」をドワンゴとかDeNAがやるんでもお祭りレベルなんだけど。キャリア自身であるソフトバンクがやっちまって、その上でCTOが深刻さを理解してなかったというダブル役満クラスの失点。これは失敗学に入れるべき事例。
  • TANAKA Takakiyo @takakiyo 2010-06-12 15:33:09
    JBなしでのUDIDの偽装方法:1.アプリの通信先のホスト名を調べる/2.自前のDNSをたてたWifi環境を用意して,そのホスト名をローカルのProxyサーバーに向ける/3.Proxyサーバーに細工をしてUDIDを書き換えた上で正規ホストに転送する。
  • ティナ 4/8 Re_gene VDJ @thinarirura 2010-06-12 22:11:56
    仕事がらUDIDの取り扱いは気を付けるために勉強勉強。
  • ティナ 4/8 Re_gene VDJ @thinarirura 2010-06-12 22:11:59
    仕事がらUDIDの取り扱いは気を付けるために勉強勉強。
  • Tietew @Tietew 2010-06-15 11:33:48
    .@takakiyo わざわざDNSを立てずとも、透過プロクシ(パケットのリダイレクション)という仕組みでHTTP通信をすべてプロクシ経由にさせることができます。
  • oden @kantodaki 2011-02-11 02:09:58
    UDIDは本来個人情報と紐付けるべきではないにも関わらず、SBは位置情報という非常に重要な個人情報と結びつけて、それを公開してしまった。そのSBの取締役が「UDIDは個人情報と紐付けるものではありません」と主張している。いやいやお前が結びつけたんだよ、という突込みどころが面白い

カテゴリーからまとめを探す

「健康・医療」に関連するカテゴリー