「ドコモ」タグアーカイブ

2011-07
02
01:55:07
オープン化への変貌とキャリアの隠蔽体質を考える – secure.softbank.ne.jpの問題を受けて


7月になってsecure.softbank.ne.jpという一種のSSLプロキシの廃止を受けて、高木さんと徳丸さんから続けて背景説明のエントリーが発表されている。

SoftBankガラケーの致命的な脆弱性がようやく解消
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る

簡単に言えばこのSSLプロキシの廃止は重大なセキュリティリスクを回避するために絶対的に必要だったと言うことなのだが、詳細はぜひ上記を参照して欲しい。

正直に言うと、この高木さんとソフトバンクモバイル宮川氏のやり取りの前に少しきっかけに関わったので興味を持ってみていたのだが、当初は発端となったアプリ側でのCookieの取り扱いにくさ以上の感触を得ていなかった。
それが違うなと思い直したのは両名が7月を前に盛り上がりだしてからで(笑)、それが同一生成元ポリシーに関わる問題であろうことはその後すぐ気付いた。
しかし実は水面下では、端末のJavaScriptを調整してsecure.softbank.ne.jpでの挙動のみ変更したいたことなどは今回のエントリーで始めて知った次第だ。
アクロバティックな対応だなと思うし、非常に感じるのはこれまで閉塞した世界でなら何も考えずとも良かった問題がJavaScriptやあるいは通信路の解放などといった「オープン化」によって大きく揺らいで行くであろう未来の姿だ。

先のエントリーで徳丸氏は以下のように述べている。

この事例から言えることは、(ガラパゴスと表現されることもある)日本の携帯Web独自の仕様というのものが非常にきわどく、もろいものだということです。

 

携帯Webの仕様がオープンにならないことも問題です。私は前述のJavaScript等の仕様を調べるために、公開されている仕様書だけでは十分でないために、実機での試行錯誤が必要でした。携帯Webの安全性確保のため、開発者やセキュリティ研究者に向けた十分な情報開示を希望します。

僕も全く同意見だ。
そもそもの問題はあまりに日本のケータイWEBがガラパゴスと言われるような独自進化をし、それはクローズドだったからまだよかったものの、ここへ来てスマートフォンに始まり、JavaScriptなどブラウザがリッチ化しOSはAndroidなどよりオープンなもの(逆に言えばキャリアやメーカーが手を加えにくい) となり、また通信路はWi-Fiや定められた端末しか繋げられない閉塞したものではなくPCなどと同居するよりオープンなものへと変貌しつつある。
日本のケータイシーンはただ端末がガラケーからスマートフォンへ置き換えられているだけではない。技術的な観点からすると「一般的なインターネット」へ変貌つつある。

問題はそうした急速な変化の中で果たしてキャリアはこうした旧世代の脆い仕様との乖離に伴う脆弱性に正しく対応可能なのか、ということだ。

少し古い話になるのだが、実は半年ほど前個人的に一ユーザーとして各キャリアに以下のような質問を行ってみた。

1. 具体例は示しませんが、近年携帯電話やスマートフォンに関して、セキュリティ上の脆弱性がネットなどで指摘されることが多くなってきました。
この1年間において御社にて脆弱性が発覚または発見しこれを修正などの対策をされた実績がありますか。ある場合、もし宜しければ具体例をお教え下さい。
2. 1のケースに関わらず、一般論で結構なのですが御社では脆弱性が発覚した場合修正し対応なさいますか。対応する/しないの判断基準はどの点だと認識していらっしゃいますか。
3. その場合、脆弱性があった旨ユーザーに情報を開示されますか。
4. 御社にてこうした脆弱性対応のためのポリシーを策定し運用されていらっしゃいますか。またそれは公開されユーザーへ周知されていらっしゃいますか。

各社様々経緯があり返答に時間もかかり結局一ヶ月近くかかった覚えがあるのだが、簡単にまとめると各社の回答は以下のようなものだった。

質問事項 脆弱性が発覚または発見しこれを修正などの対策をされた実績はあるか 脆弱性が発覚した場合修正し対応するか。対応する/しないの判断基準はどの点だと認識しているか 脆弱性があった旨ユーザーに情報を開示するか 脆弱性対応のためのポリシーを策定し運用しているか。またそれは公開されユーザーへ周知されているか
ドコモ 特に回答無し – ウィルス対策、パターン更新などの対策を行っている
– 対策の判断基準は脆弱性の程度や影響などを総合的に判断
– お客様にお伝えできる情報は弊社ウェブサイト等にて公開させていただきますことをご了承ください 特に回答無し
au – 脆弱性事例はあり(最近の例を例示) – システムに脆弱性があることについて事実確認されアップデートによって脆弱性が解消できることが判明した場合には必ずWEBサイトで告知を実施した上でアップデート対応を実施する – セキュリティに関わる問題については悪用される危険性があるため詳細な内容については公表しない。但し該当ユーザーについては個別に周知している 特に回答無し
ソフトバンク 弊社の機密事項に関するものとなるで社外への情報開示はWEBサイトで公開している内容のみでそれ以外は答えられない
イーモバイル 特に回答無し 特に回答無し – お客様に影響を及ぼす問題が発見された場合には、すみやかに情報を開示し対策を実施することとしています。
情報の開示方法は、弊社ホームページ上に掲載するケースや、
個別にご連絡する場合など案件によって最適な方法で実施いたします。
特に回答無し

 

多少の違いはあるが、どれも判で押したような特に具体性のない内容であることは間違いないだろう。
注目すべきはどこのキャリアも回答には数週間から一ヶ月かかっている、つまりあらかじめ想定している内容ではなく、 社内調整した結果の回答であったのだろう。それは脆弱性ポリシーの有無の質問に対していずれも明確な回答がなかったことからも察しが付く。
つまりは各社とも今回のような脆弱性への対処については明確な社内規定やルールがあり運用されている訳ではなく、発覚した場合のケースバイケースということなのではないだろうか。
これは一言で言って常に対処が後手に回り対処療法に陥りやすい危険な兆候とも言えるだろう。

「フルディスクロージャ」という言葉がある。これは「脆弱性情報を隠蔽しこれを知り得ている一部の悪意あるユーザーに悪用されるよりは、脆弱性情報を発見したらすぐに広くオープンにして全てのユーザーに完全に周知した方が安全だ」という考え方だ。
これはこれで極端な考え方で、例えば0Dayアタックと呼ばれるような一般ユーザーにこのような脆弱性から守る術を持たないうちから攻撃されるリスクが十分あるからだ。
そこまで極端なフルディスクロージャーは近年では採用されることは少ないが、しかし一方で上記のようなキャリアの態度というのは、これまた極端な「隠蔽体質」と言われても仕方ないだろう。

しかし実はこのフルディスクロージャーの考え方には、インターネット黎明期に脆弱性の隠蔽が頻繁に行われ、その結果被害が拡大した結果、反省と反発からの一種の極論から生まれたという背景がある。

キャリアが理解しているかどうかは分からない。しかし僕にはこれまでのキャリアは閉塞網と完全に制御された端末でのうのうと暮らしてきた「井の中の蛙」に見える。
スマートフォンの伸長は歴史の針を一気に進め、蛙を大海へ叩き込んだ、とも言えるだろう。
彼らが今後暮らさなければならない「本当のインターネット」の大海では、脆弱性情報は共有され適切に管理され、インターネット全体の安全性のバランスを取る仕組みと常識感が既に熟成されている。それはインターネットの巨大なプレーヤーとしてはほぼ責務と言っていい。 だがそんな「本当のインターネットでの常識」に付いていけるだけの力を身に付けられているだろうか。僕は甚だ疑問だ。

キャリア各社は今後スマートフォンへ軸足を移し、また「普通のインターネット」を提供したいと発言している。一方で各キャリア毎に課金・認証の仕組みを導入しようとしており、ドコモはiモードを、auはau one IDをすでにAndroidに組み込んでいるようだ。
けれど彼らは本当にそれらがインターネットの大海でどういう意味を持つか理解して実現できるだろうか。
僕はこうした脆弱性ポリシーや、インターネットでは当たり前の技術情報の周知1つ出来ていない現状では結局同じことを繰り返し、更に酷いセキュリティ問題を繰り広げる未来としか思えないのだ。

 

2011-05
28
03:14:16
ドコモもauも「これまでのケータイネットはインターネットではなかった」と言い出した背景


ここしばらくキャリア各社の新製品発表なども続き、その中で時あたかもドコモ・auで立て続けに同じような興味深い発言が続いた。

ネットの大海原に出るための「再定義」――ドコモ伊倉氏に聞くスマートフォン時代の“パラダイムシフト”戦略(後編) (3/3)

では、なぜキャリアがスマートフォンを推進しているのかというと、まずフィーチャーフォンの垂直統合のモデルから、そうならないところに移ることが重要である、ということがあります。それをドコモが積極的にやることによって、インターネットの世界や新しい世界をきっちりと理解し、その中でクラウドを意識して、サービスの設計をする。将来的にクラウド系のサービスをやる前提として、スマートフォンを推進しなければならない。

【WIRELESS JAPAN 2011】 KDDI田中社長、「なんちゃって」から「真のインターネット」へ

「この10年は、携帯電話の10年だった。また3Gと定額の時代でもあり、その中で、なんとか(パソコン向けの)インターネットの価値を小さなデバイスに取り込む、『なんちゃってインターネット』の時代だった。非常に良い時代だったと思う」と表現した

微妙にニュアンスは異なるが、ともに「もう携帯電話に独自ネットを閉じ込められない」危機感を有しているのがよく分かる。

キャリアから見た場合には見方が異なっていると思うのだが、この10年は携帯電話のCPUなど性能の問題で「なんちゃってにせざるを得なかった」という意見のようだ。
しかし当然理解されることとして、日本のガラケーは既に何年も前からスマートフォンだったという人もいるように(僕はそう思わないが)、またフルブラウザはもう5年以上も前から登場しているし海外ではスマートフォンはやはり5年も前から普通に使われていたことから考えて、単にここに来て「各キャリアが従来の携帯網ビジネスを手放さなくざるをえなくなった」一種の敗北宣言と捉えられよう。

日本のキャリアがこれほどまでに垂直統合モデルによって過分な利益を享受しモバイルECをここまで発展させられたのは、これまでも何度か書いている通り「閉塞された携帯網」でのみネット接続を許し、その中でのみコンテンツの利用をユーザーに許し囲い込んできたからだ。
まさしく「なんちゃってインターネット」であったわけだ。

参考:
iモードはダイヤルQ2から始まった
“ガラパゴス”の定義とは


約1年前に「SIMロック解除よりもアクセスポイントの解放こそが有効だ」という記事を書いた。そこではSIMロック「だけ」ではなく、閉塞した携帯網ではなく、インターネットへ開かれたアクセスポイントの解放が必要だと書いた。実のところ、こうしたコンテンツを囲い込む閉塞した携帯網でビジネスを続けてきたのは日本のキャリアだけであり、だからこそ寡占状態を生み出せて成功もしたのだが、世界的にはこうした垂直統合の名の下の囲い込みビジネスは珍しい。他国ではそもそも携帯網とはインターネットへ直結されている、携帯網とそれ以外の違いはなかったからだ。

では従来の携帯網をそのままスマートフォンに適用すればよいかというとそれも難しい。モバイルECを支えているケータイID(端末ID)はセキュリティ的には非常に脆弱であり、閉塞した携帯網でしか機能できない。
またもともとスマートフォントは、キャリアが企画して作り上げたものではない、いうなれば海外直輸入の「黒船」であるのでそうしたビジネスモデルが構築できない。

そこをどうするかを各キャリアは今必死に考えているところであり、それを示すのが上記の記事でもあるわけだ。
そして長期的に見れば、各社とも認めているとおりこのビジネスは衰退せざるを得ないだろう。そして否定はしているものの、各キャリアはやはり「土管屋」として、これまでのようなコンテンツビジネスからは市場からは追い出され回線費用のみで稼がざるを得なくなっていくだろう。
それがこうした弱気さともあるいは前向きとも捉えられる発言の背景なのだと思う。

では今後誰がケータイやスマートフォンのコンテンツ市場を担っていくのか。
それこそまさに「本当のインターネット」の世界が決めていくことであろう。これはここに来てようやく日本のケータイがインターネットに繋がりつつあるのだということだ。
これからのケータイネットにおいても、少なくとも現在主流のYahooなどのポータル勢やまたゲームを中心にしたSNS勢、またはFacebook、Googleといった海外勢が多くを担っていくことになるだろう。

では果たしてこれまで各キャリアと組むことで謳歌してきたコンテンツプロバイダー(C/P)各社はどうだろうか。
先日このような発表もあった。

「スマートフォンでiモード」を普及の「武器」に──ドコモ夏モデル発表

今年冬には、スマートフォン向けにiモードの課金・認証の仕組みを導入。iモード端末ユーザーが「マイメニュー」をそのまま引き継ぎ、iモード公式サイトコンテンツをスマートフォンでも利用できるようにする

さもあらん、という感じだが、このiモードコンテンツのスマートフォン対応というのが何かはよく分からない。そもそもコンテンツとしてはスマートフォンへ完全に作り替えなければならないのでこれまでのケータイ向けノウハウは全く役に立たないだろうし、また課金などの仕組みもiモードから移行させるのだろうが、これがうまく行くのか(セキュリティ的にも)よくわからない。
実のところ、個人的にはこれはドコモが主体で行いたいと考えているのではないだろうと思っている。つまり売り上げ低下の激しい従来のC/Pからの激しい追求・要望があった故ではないか。
ではうまくいくだろうか。
一つ思うのは「檻の中で飼われたライオンは野生では生きられない」ということだ。課金の仕組みもお仕着せのユーザー導線も何もないところから競争を勝ち上ってきた「真インターネット」組に太刀打ちできるとは到底思えないのだ。

キャリアが望もうと望むまいと、あるいは如何に抵抗しようと徐々に「土管屋」へ近づくのは時間の問題だ。つまり焦点は既に土管屋にはなく、果たして(主に海外)メーカーがまたは他のサービス事業者がどのような施策を打ち出しつつあるかに注目した方がよい。
二年後、恐らく日本の携帯業界は今とは全く別の力関係が存在していることだろう。

2010-03
09
21:31:05
docomo ID認証が怪しげすぎる件


NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に

「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。
ポイントはこの3つ。

・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど
・iモードIDとUser-Agentを取得できる
・iモードID 取得はAXでもSREGでも無い独自仕様

つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにしておくと、iモードIDが続々と入手可能になると。ケータイ勝手サイトだけでなく、PCサイトでも堂々とiモードIDが収集できるようになったわけだ。

iモードIDの簡単ログインの問題が話題になっているのは「とある方法で何とかiモードIDを詐称できれば」簡単ログイン対応サイトで不正アクセスが出来てしまうから。なのだけどiモードIDをこうも簡単に取得できるのなら、この方法さえも要らなくて「他にiモードIDを簡単ログインに送り込める方法があれば」簡単ログインサイトの仕様によっては恒久的にセッションを乗っ取ることも可能だろう(セッションIDとしてiモードIDをそのまま使用していた場合など)。
またiモードIDは契約者ごとに固定なので、複数のサイトで「名寄せ」をして完全な個人情報をまとめ上げることも懸念されている。
更にiモードID取得をAXでもSREGでも無い独自プロトコルにしているのは何故だろう。ここは明快な理由が思いつかない。

ありがちなシナリオとしては、例えば僕のような個人でも、docomo ID対応のサイトを作ってブログのコメントやちょっとしたサービス登録をする上でPCのメールアドレスや生年月日、性別ぐらいは簡単に登録してもらえるだろう。ケータイサイト運営だけでは入手しにくい情報もPCサイトと組み合わせることで名寄せをしてより単価の高い個人情報が生成可能になる。なんと素晴らしい!
PCの世界でOpenIDと言えば、Yahoo!やmixiなどのID/パスワードが使える程度の印象しか一般ユーザーは持っていないはずだ。しかし使い方によっては自分のケータイ機種まで知られてケータイでの情報が筒抜けになる、あるいは可能性があることを伝えずに使わせることは、これはもうほとんど詐欺みたいなものだろう。
(因みにYahoo!のOpenIDではLocal Identifierしか取得できない。これは無意味なランダム文字列みたいなものだ。mixiはニックネームは取得できるが、もちろんメールアドレスなどは取得できない。なので名寄せに利用するには敷居が高い)

docomoからすれば、これだけ世に広まっているケータイ認証や決済をPCの世界にも広めたい意図なのだというのは容易に想像できる。しかしこれだけ脆弱性が心配されている「(日本の)ケータイ世界だけの常識」をPCにも広げようという「技術者としての良心」が理解できない。

OpenIDを活用するのならば、ケータイでのOpenIDが利用しにくいことが問題になっているのだから、docomoこそが率先してケータイ端末でのOpenID対応を推し進めるべきではなかったか。現在のiモード認証の限界を超えてよりセキュリティ的にもユーザーへのメリットにも大きな収穫があるはずだし、それが社会の公器として、業界の雄としての役割であろう。

願わくは、ケータイサイトしか知らない「ケータイ脳」の会社がケータイサイトのノリでとんでもないPCサイトを量産しないように、心から願う。

2008-12
11
23:00:00
携帯アドレス帳登録QRくんというのを作ってみました


もう既に他にも存在しているサービスなんですが、自分好みのが欲しくて勢いで作ってみたので公開してみます。
友達や知り合いの携帯に自分のアドレス帳を登録してもらうためのQRコード生成サービスです。
入力フォームから名前・電話番号・メールアドレスを入力して生成ボタンを押すとQRコードが表示されますので、携帯電話から読み取るとワンタッチでアドレス帳に登録できます。
iPhone、ドコモ・au・ソフトバンクの携帯電話に対応するほか、ほぼ需要ない気もしましたが勢いでPCにも対応しています。
携帯アドレス帳登録QRくん画像1
またNOKIA、Windows Mobileのスマートフォンにも対応しているつもり(表示は携帯と同一にしています)ですが、PC画面になるようでしたら、お使いのブラウザでのUserAgentを教えて頂けると対応できるかと思います。
なお読み取り側はドコモ・au・ソフトバンクの携帯電話のみの対応と思っていますが、各社の仕様に合っているQRリーダーなどであれば他の機種でも動作するのかも知れません。
数少ない携帯端末でしかテストできていませんので、もし動作しない場合があればお使いの機種名や、どのような問題があるか詳しく教えて頂ければ(何しろ手元ではテストでませんため・・)対応できるかも知れません。
どうぞお気楽にご利用ください。

携帯アドレス帳登録QRくん

*PC/携帯/iPhoneともに同じURLです。

2008-12
08
23:07:00
au、Walkman Phone, Xmini


auには興味は沸かないけど、これはいいですねー。
Walkmanとか関係なく、デザインだけでつられる層が結構いそうだ。
20081208230151.jpg
日本の携帯に思えないデザインセンスはさすがソニーエリクソンと言えるでしょうか。
昔ドコモにあったpreminiにちょっと似てますね。あれもかっこよかったー。
Walkman携帯って海外では普通に出回ってますが、日本ではこれが本格展開になるのかな?
案の定、音楽以外の機能が物足りないのは残念ですが、この携帯は海外で展開ているノウハウと日本ならではの機能がうまく融合できた、理想的な例かも知れませんね。
こういう個性的な携帯をキャリア関係なく使いたいんだけどなー。