「au」タグアーカイブ

2011-07
02
01:55:07
オープン化への変貌とキャリアの隠蔽体質を考える – secure.softbank.ne.jpの問題を受けて


7月になってsecure.softbank.ne.jpという一種のSSLプロキシの廃止を受けて、高木さんと徳丸さんから続けて背景説明のエントリーが発表されている。

SoftBankガラケーの致命的な脆弱性がようやく解消
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る

簡単に言えばこのSSLプロキシの廃止は重大なセキュリティリスクを回避するために絶対的に必要だったと言うことなのだが、詳細はぜひ上記を参照して欲しい。

正直に言うと、この高木さんとソフトバンクモバイル宮川氏のやり取りの前に少しきっかけに関わったので興味を持ってみていたのだが、当初は発端となったアプリ側でのCookieの取り扱いにくさ以上の感触を得ていなかった。
それが違うなと思い直したのは両名が7月を前に盛り上がりだしてからで(笑)、それが同一生成元ポリシーに関わる問題であろうことはその後すぐ気付いた。
しかし実は水面下では、端末のJavaScriptを調整してsecure.softbank.ne.jpでの挙動のみ変更したいたことなどは今回のエントリーで始めて知った次第だ。
アクロバティックな対応だなと思うし、非常に感じるのはこれまで閉塞した世界でなら何も考えずとも良かった問題がJavaScriptやあるいは通信路の解放などといった「オープン化」によって大きく揺らいで行くであろう未来の姿だ。

先のエントリーで徳丸氏は以下のように述べている。

この事例から言えることは、(ガラパゴスと表現されることもある)日本の携帯Web独自の仕様というのものが非常にきわどく、もろいものだということです。

 

携帯Webの仕様がオープンにならないことも問題です。私は前述のJavaScript等の仕様を調べるために、公開されている仕様書だけでは十分でないために、実機での試行錯誤が必要でした。携帯Webの安全性確保のため、開発者やセキュリティ研究者に向けた十分な情報開示を希望します。

僕も全く同意見だ。
そもそもの問題はあまりに日本のケータイWEBがガラパゴスと言われるような独自進化をし、それはクローズドだったからまだよかったものの、ここへ来てスマートフォンに始まり、JavaScriptなどブラウザがリッチ化しOSはAndroidなどよりオープンなもの(逆に言えばキャリアやメーカーが手を加えにくい) となり、また通信路はWi-Fiや定められた端末しか繋げられない閉塞したものではなくPCなどと同居するよりオープンなものへと変貌しつつある。
日本のケータイシーンはただ端末がガラケーからスマートフォンへ置き換えられているだけではない。技術的な観点からすると「一般的なインターネット」へ変貌つつある。

問題はそうした急速な変化の中で果たしてキャリアはこうした旧世代の脆い仕様との乖離に伴う脆弱性に正しく対応可能なのか、ということだ。

少し古い話になるのだが、実は半年ほど前個人的に一ユーザーとして各キャリアに以下のような質問を行ってみた。

1. 具体例は示しませんが、近年携帯電話やスマートフォンに関して、セキュリティ上の脆弱性がネットなどで指摘されることが多くなってきました。
この1年間において御社にて脆弱性が発覚または発見しこれを修正などの対策をされた実績がありますか。ある場合、もし宜しければ具体例をお教え下さい。
2. 1のケースに関わらず、一般論で結構なのですが御社では脆弱性が発覚した場合修正し対応なさいますか。対応する/しないの判断基準はどの点だと認識していらっしゃいますか。
3. その場合、脆弱性があった旨ユーザーに情報を開示されますか。
4. 御社にてこうした脆弱性対応のためのポリシーを策定し運用されていらっしゃいますか。またそれは公開されユーザーへ周知されていらっしゃいますか。

各社様々経緯があり返答に時間もかかり結局一ヶ月近くかかった覚えがあるのだが、簡単にまとめると各社の回答は以下のようなものだった。

質問事項 脆弱性が発覚または発見しこれを修正などの対策をされた実績はあるか 脆弱性が発覚した場合修正し対応するか。対応する/しないの判断基準はどの点だと認識しているか 脆弱性があった旨ユーザーに情報を開示するか 脆弱性対応のためのポリシーを策定し運用しているか。またそれは公開されユーザーへ周知されているか
ドコモ 特に回答無し – ウィルス対策、パターン更新などの対策を行っている
– 対策の判断基準は脆弱性の程度や影響などを総合的に判断
– お客様にお伝えできる情報は弊社ウェブサイト等にて公開させていただきますことをご了承ください 特に回答無し
au – 脆弱性事例はあり(最近の例を例示) – システムに脆弱性があることについて事実確認されアップデートによって脆弱性が解消できることが判明した場合には必ずWEBサイトで告知を実施した上でアップデート対応を実施する – セキュリティに関わる問題については悪用される危険性があるため詳細な内容については公表しない。但し該当ユーザーについては個別に周知している 特に回答無し
ソフトバンク 弊社の機密事項に関するものとなるで社外への情報開示はWEBサイトで公開している内容のみでそれ以外は答えられない
イーモバイル 特に回答無し 特に回答無し – お客様に影響を及ぼす問題が発見された場合には、すみやかに情報を開示し対策を実施することとしています。
情報の開示方法は、弊社ホームページ上に掲載するケースや、
個別にご連絡する場合など案件によって最適な方法で実施いたします。
特に回答無し

 

多少の違いはあるが、どれも判で押したような特に具体性のない内容であることは間違いないだろう。
注目すべきはどこのキャリアも回答には数週間から一ヶ月かかっている、つまりあらかじめ想定している内容ではなく、 社内調整した結果の回答であったのだろう。それは脆弱性ポリシーの有無の質問に対していずれも明確な回答がなかったことからも察しが付く。
つまりは各社とも今回のような脆弱性への対処については明確な社内規定やルールがあり運用されている訳ではなく、発覚した場合のケースバイケースということなのではないだろうか。
これは一言で言って常に対処が後手に回り対処療法に陥りやすい危険な兆候とも言えるだろう。

「フルディスクロージャ」という言葉がある。これは「脆弱性情報を隠蔽しこれを知り得ている一部の悪意あるユーザーに悪用されるよりは、脆弱性情報を発見したらすぐに広くオープンにして全てのユーザーに完全に周知した方が安全だ」という考え方だ。
これはこれで極端な考え方で、例えば0Dayアタックと呼ばれるような一般ユーザーにこのような脆弱性から守る術を持たないうちから攻撃されるリスクが十分あるからだ。
そこまで極端なフルディスクロージャーは近年では採用されることは少ないが、しかし一方で上記のようなキャリアの態度というのは、これまた極端な「隠蔽体質」と言われても仕方ないだろう。

しかし実はこのフルディスクロージャーの考え方には、インターネット黎明期に脆弱性の隠蔽が頻繁に行われ、その結果被害が拡大した結果、反省と反発からの一種の極論から生まれたという背景がある。

キャリアが理解しているかどうかは分からない。しかし僕にはこれまでのキャリアは閉塞網と完全に制御された端末でのうのうと暮らしてきた「井の中の蛙」に見える。
スマートフォンの伸長は歴史の針を一気に進め、蛙を大海へ叩き込んだ、とも言えるだろう。
彼らが今後暮らさなければならない「本当のインターネット」の大海では、脆弱性情報は共有され適切に管理され、インターネット全体の安全性のバランスを取る仕組みと常識感が既に熟成されている。それはインターネットの巨大なプレーヤーとしてはほぼ責務と言っていい。 だがそんな「本当のインターネットでの常識」に付いていけるだけの力を身に付けられているだろうか。僕は甚だ疑問だ。

キャリア各社は今後スマートフォンへ軸足を移し、また「普通のインターネット」を提供したいと発言している。一方で各キャリア毎に課金・認証の仕組みを導入しようとしており、ドコモはiモードを、auはau one IDをすでにAndroidに組み込んでいるようだ。
けれど彼らは本当にそれらがインターネットの大海でどういう意味を持つか理解して実現できるだろうか。
僕はこうした脆弱性ポリシーや、インターネットでは当たり前の技術情報の周知1つ出来ていない現状では結局同じことを繰り返し、更に酷いセキュリティ問題を繰り広げる未来としか思えないのだ。

 

2011-06
15
11:42:45
auのEZWebがそろそろ終了しそうな件


先日auからEZWebに関わる以下のようなアナウンスがなされた。
KDDI au: EZfactory

EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。
これによる主な変更点は以下のとおりです。

<主な変更点>
・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。
・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。

他にもCookie仕様の変更などがあるのだが注目すべきは、「EZブラウザとPCサイトビューアーのIPアドレス帯域が統一される」という点だ。

以前書いた記事も参照して欲しいのだが、

続:携帯で端末ID詐称は可能かもしれない話
(追記) 続:携帯で端末ID詐称は可能かもしれない話

EZWebつまり日本のケータイECを支えているケータイID(端末ID、サブスクライバーID)は単純に契約者または端末ごとに振られたIDをHTTPヘッダーに載せて通知して、WEBサイト(例えば公式サイトでの決済や課金など)ではこれを元に契約者を特定しているだけなので単にインターネット上で実現するとすぐに偽装や詐称されてしまう。
そこで再掲になるが、auに限らずドコモやソフトバンクでも以下のような脆弱な要件を満たさない限り、ケータイIDが偽装・詐称されずに正しく利用されていることはサイト側(サービスプロバイダー)では見分けが付かない

(1) そのアクセスがそのキャリアの携帯網(IPアドレス帯域)からのみであることをサービスプロバイダーが保証すること
(2) 携帯網ではケータイIDが偽装されていないことをキャリアが保証すること
(3) 端末の自由度を低くしてケータイIDの偽装などの可能性をできるだけ低く保つこと

但しauではEZ番号はゲートウェイで付加されるのではなく端末側から直接送信されているようなので、上記の三原則であれば1と3でしか担保されていない模様だ。

EZ番号を使用したケータイECに対応するのがEZブラウザであり(ドコモであればiモードブラウザ)、PCサイトビューアはEZ番号は発信しない単なるフルブラウザである。
しかし上記条件にあるようにEZブラウザ以外のブラウザやアプリからEZブラウザと同様のIPアドレス帯域に接続でき、かつEZ番号を偽装できるならこの日本独自のケータイECの仕組みは崩壊することになる。
であれば果たしてEZブラウザとPCサイトビューアのIPアドレスが統一された後、PCサイトビューアで偽装が可能になってしまわないのか。

この疑問に早速、徳丸浩氏が実験を行い結果を公表された。

EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点

上記のように、現状のPCサイトビューアでは、EZ番号が追加できるほか、W52TではUser-Agentも変更できます。2011年秋冬モデルの仕様はわかりませんが、上記と同じ仕様である場合、EZ番号の偽装が可能になります。

 

2011年秋冬モデルでもEZブラウザにJavaScript機能が搭載される予定はないようですが、JavaScript機能があるPCサイトビューアのIPアドレスが統一されることで、結果として、事業者ゲートウェイを経由する端末の中に、JavaScript機能を搭載したものが含まれる状態が生まれます。このため、JavaScriptを悪用した攻撃の可能性が生じてきます。具体的には、JavaScriptによるEZ番号(サブスクライバID)の偽装、DNSリバインディング攻撃などの可能性が生じます。

IPアドレス帯域の統一は7月から、また2011年秋冬モデルからの変更と言うことなので、実際にどうなるかは7月以降の検証を待たなければならない。
しかしもしPCサイトビューアの仕様が大きく変わらないのであれば、EZWebでのあらゆる課金や決済は(たとえ暗証番号があるにせよ)偽装放題と言うことになる。
「でもそもそも他人のEZ番号なんて分からないのでは?」という疑問もあるだろう。しかしEZ番号は端末で「送信する設定」(デフォルト)にしてあれば勝手サイトにであっても常にEZ番号は送信されているのである。
つまり例えば決済や課金など関係ないケータイサイトを運用していても、実はEZ番号は大量にこれまでに入手可能であり、 ユーザー登録の必要なサイトであれば名前や住所などと紐付けられているかも知れないし、そもそも氏名など分からなくとも、ランダムにリスト化されたEZ番号を使って総当たりで詐称攻撃することも可能になるだろう。たとえ暗証番号があるにせよ、また3回間違えるとそのアカウントがロックされるにせよ、最低数百件程度のリストがあれば暗証番号を固定して次々に試せばそのうち幾つかは楽に認証を通ってしまうだろう(これはとてもよく知られた初歩的な攻撃手法に過ぎない)。
知らぬ間に公式サイトで勝手にデジタルコンテンツを大量に買っていたことになっていた・・ということも十分起き得るのである。

率直に言って、何故auがこんな仕様変更を簡単に行ってしまうのか、全く理解できない。そもそもauは、上記のような「脆弱な基盤」に支えられたケータイIDというものを理解していないのではないか。

以前僕はこのようにブログに書いたことがある。

三位一体の原則だ。これが1つでも崩れれば信頼性は崩壊する。
しかしもし上記の推測が正しければ、ことauのEZ番号については(1)と(3)によってのみしか支えられていない。SIMロック解除論議を持ち出すまでもなく、例えばauの携帯網のアクセスポイント情報が明らかになってしまったら。そこにスマートフォンなどで任意のアプリを実行できる端末が接続可能になったら・・・? 恐らくサービスプロバイダーは偽装を見破る術を持たない。
それが現実になれば、恐慌にも似たケータイECの信用崩壊が起こる可能性が非常に高い。

全ては2011年秋冬モデルの発売を待たなければ本当のところは分からないが、まさしくこの懸念が当たる際にいるのかも知れない。

2011-05
28
03:14:16
ドコモもauも「これまでのケータイネットはインターネットではなかった」と言い出した背景


ここしばらくキャリア各社の新製品発表なども続き、その中で時あたかもドコモ・auで立て続けに同じような興味深い発言が続いた。

ネットの大海原に出るための「再定義」――ドコモ伊倉氏に聞くスマートフォン時代の“パラダイムシフト”戦略(後編) (3/3)

では、なぜキャリアがスマートフォンを推進しているのかというと、まずフィーチャーフォンの垂直統合のモデルから、そうならないところに移ることが重要である、ということがあります。それをドコモが積極的にやることによって、インターネットの世界や新しい世界をきっちりと理解し、その中でクラウドを意識して、サービスの設計をする。将来的にクラウド系のサービスをやる前提として、スマートフォンを推進しなければならない。

【WIRELESS JAPAN 2011】 KDDI田中社長、「なんちゃって」から「真のインターネット」へ

「この10年は、携帯電話の10年だった。また3Gと定額の時代でもあり、その中で、なんとか(パソコン向けの)インターネットの価値を小さなデバイスに取り込む、『なんちゃってインターネット』の時代だった。非常に良い時代だったと思う」と表現した

微妙にニュアンスは異なるが、ともに「もう携帯電話に独自ネットを閉じ込められない」危機感を有しているのがよく分かる。

キャリアから見た場合には見方が異なっていると思うのだが、この10年は携帯電話のCPUなど性能の問題で「なんちゃってにせざるを得なかった」という意見のようだ。
しかし当然理解されることとして、日本のガラケーは既に何年も前からスマートフォンだったという人もいるように(僕はそう思わないが)、またフルブラウザはもう5年以上も前から登場しているし海外ではスマートフォンはやはり5年も前から普通に使われていたことから考えて、単にここに来て「各キャリアが従来の携帯網ビジネスを手放さなくざるをえなくなった」一種の敗北宣言と捉えられよう。

日本のキャリアがこれほどまでに垂直統合モデルによって過分な利益を享受しモバイルECをここまで発展させられたのは、これまでも何度か書いている通り「閉塞された携帯網」でのみネット接続を許し、その中でのみコンテンツの利用をユーザーに許し囲い込んできたからだ。
まさしく「なんちゃってインターネット」であったわけだ。

参考:
iモードはダイヤルQ2から始まった
“ガラパゴス”の定義とは


約1年前に「SIMロック解除よりもアクセスポイントの解放こそが有効だ」という記事を書いた。そこではSIMロック「だけ」ではなく、閉塞した携帯網ではなく、インターネットへ開かれたアクセスポイントの解放が必要だと書いた。実のところ、こうしたコンテンツを囲い込む閉塞した携帯網でビジネスを続けてきたのは日本のキャリアだけであり、だからこそ寡占状態を生み出せて成功もしたのだが、世界的にはこうした垂直統合の名の下の囲い込みビジネスは珍しい。他国ではそもそも携帯網とはインターネットへ直結されている、携帯網とそれ以外の違いはなかったからだ。

では従来の携帯網をそのままスマートフォンに適用すればよいかというとそれも難しい。モバイルECを支えているケータイID(端末ID)はセキュリティ的には非常に脆弱であり、閉塞した携帯網でしか機能できない。
またもともとスマートフォントは、キャリアが企画して作り上げたものではない、いうなれば海外直輸入の「黒船」であるのでそうしたビジネスモデルが構築できない。

そこをどうするかを各キャリアは今必死に考えているところであり、それを示すのが上記の記事でもあるわけだ。
そして長期的に見れば、各社とも認めているとおりこのビジネスは衰退せざるを得ないだろう。そして否定はしているものの、各キャリアはやはり「土管屋」として、これまでのようなコンテンツビジネスからは市場からは追い出され回線費用のみで稼がざるを得なくなっていくだろう。
それがこうした弱気さともあるいは前向きとも捉えられる発言の背景なのだと思う。

では今後誰がケータイやスマートフォンのコンテンツ市場を担っていくのか。
それこそまさに「本当のインターネット」の世界が決めていくことであろう。これはここに来てようやく日本のケータイがインターネットに繋がりつつあるのだということだ。
これからのケータイネットにおいても、少なくとも現在主流のYahooなどのポータル勢やまたゲームを中心にしたSNS勢、またはFacebook、Googleといった海外勢が多くを担っていくことになるだろう。

では果たしてこれまで各キャリアと組むことで謳歌してきたコンテンツプロバイダー(C/P)各社はどうだろうか。
先日このような発表もあった。

「スマートフォンでiモード」を普及の「武器」に──ドコモ夏モデル発表

今年冬には、スマートフォン向けにiモードの課金・認証の仕組みを導入。iモード端末ユーザーが「マイメニュー」をそのまま引き継ぎ、iモード公式サイトコンテンツをスマートフォンでも利用できるようにする

さもあらん、という感じだが、このiモードコンテンツのスマートフォン対応というのが何かはよく分からない。そもそもコンテンツとしてはスマートフォンへ完全に作り替えなければならないのでこれまでのケータイ向けノウハウは全く役に立たないだろうし、また課金などの仕組みもiモードから移行させるのだろうが、これがうまく行くのか(セキュリティ的にも)よくわからない。
実のところ、個人的にはこれはドコモが主体で行いたいと考えているのではないだろうと思っている。つまり売り上げ低下の激しい従来のC/Pからの激しい追求・要望があった故ではないか。
ではうまくいくだろうか。
一つ思うのは「檻の中で飼われたライオンは野生では生きられない」ということだ。課金の仕組みもお仕着せのユーザー導線も何もないところから競争を勝ち上ってきた「真インターネット」組に太刀打ちできるとは到底思えないのだ。

キャリアが望もうと望むまいと、あるいは如何に抵抗しようと徐々に「土管屋」へ近づくのは時間の問題だ。つまり焦点は既に土管屋にはなく、果たして(主に海外)メーカーがまたは他のサービス事業者がどのような施策を打ち出しつつあるかに注目した方がよい。
二年後、恐らく日本の携帯業界は今とは全く別の力関係が存在していることだろう。

2010-11
13
20:47:15
SH-03C/IS03/003SHのスペックと保有コストを比較してみる


各キャリアから2010-2011冬春モデルの発表が出そろって、皆さんどれを買うかわくわくされていることと思います。
僕も例外ではないんですが、一つ特筆すべきはSH-03C/IS03/003SHといった同一メーカーの兄弟機が一斉に主要キャリアから発売されるということ。もしかしたらこれって史上初めてのことではないでしょうか(少なくとも今世紀以降では。2Gの頃にはあったのかも知れません)。
そもそも各キャリアは独自のサービスとハード的にも強く結びついた端末を出してくるというのがこれまでの建前であったわけですがそれが一部とは言え崩れ去ろうとしつつあります。
これはあまり喜ばしい理由によるとは思わないのですが、つまりは「ガラケースマフォ」を日本キャリアのためにわざわざ作ってくれるメーカーが国内にほとんど無くなってしまい特定のメーカー(ここではシャープ)に集中してしまったこと、Androidベースのスマフォであるためベースが同じにならざるを得ないこと、がその理由でしょう。
もしその端末が気に入っていれば今度はどのキャリアにするかが今後は大いに悩ませることになるかも知れません。
(その点国際機と言われるXperiaやGalaxyシリーズ、Desireシリーズなどはうまくキャリアの棲み分けが出来ているようです)

これは一見するとキャリア毎の端末の差異が無くなりつつあり逆に選び方が難しくなったと思えるかも知れません。
そこでここでは発表資料を中心にスペック面と保有コスト面を中心にキャリア毎に比較をしてみたいと思います。
これはあくまで SH-03C/IS03/003SHでの比較ですが、場合によってはこうした差異の無くなりつつある状況でのキャリア毎の戦略を表している、とも言えるかも知れません。
なお内容の正確さには配慮したつもりですが、事実誤認などありましたら指摘いただければ幸いです。

Continue reading

2010-04
13
04:41:50
(追記) 続:携帯で端末ID詐称は可能かもしれない話


前回の記事について。
不用意な不安を煽るのが目的ではないので(理解できている人はできていると思うのだけど)念のため追記しておく。
では今現在auのEZ番号について差し迫った脆弱性や危険性があるのかと言えばこれはNOだと信じている。
上記を実現するためには、auの携帯網に対してスマートフォン(に限らないけど)のように任意のアプリを作成して実行できる環境を用意する必要がある。しかしこれは少なくとも現在ではかなり敷居が高い。
まず携帯網とはつまり現在の「ガラケー」を接続しているアクセスポイントから接続されるキャリア内ネットワークである。アクセスポイントについては以前の記事を参照して欲しいが、現時点ではアクセスポイント名やユーザー名、パスワードなど接続に必要になる情報は公開されていない。つまり何らかの方法でこれを入手する必要があるが僕の知る限りまだこれら情報の流出はない。
スマートフォン網であれば近々提供されるIS-NETで公開されてある程度自由に使用できるのではと思うのだが、「ちゃんとセキュリティを考慮している」サービスプロバイダーでは携帯網からのアクセスのみを許可しこの場合のみEZ番号を使用するはずなので、携帯網に接続できなければいけないことになる。
また au環境で自由に接続可能なスマートフォンや携帯端末を入手するのも難儀だ。ご承知の通りauはCDMA2000という世界的にもマイナーな方式を採用しておりまた上がりと下りで海外とは逆の周波数帯を利用している。まさしくauオンリーワンな環境となっている。従って海外のCDMA2000に対応したSIMフリー機を買ってきてそのまま使えるわけでもない。最近発表されたAndroid/WindowsMobile機のISシリーズはシャープがau向けに独自に開発したのも恐らくこうした事情から海外調達が実質的に不可能だったためだろう。
その他、例えばBREWは公式アプリしか認められていない(勝手アプリが可能ならEZ番号を詐称するのも簡単になる)とか、SIMロックもユーザーロックと呼ばれるショップで登録しないと使用できない(勝手な端末を接続させない、端末とEZ番号の紐付けを厳密に行う)とか、EZ番号は初回接続時にゲートウェイからダウンロードして決定される(これも端末管理を厳密に行いたいためだろう)など、上記を補強するためであろう施策が見受けられる。

という状況があるので必ずしも切迫した状況が放置されているわけではないと思う。しかしその一方で当然にしてこれらのうち何かが偶然であろうと必然であろうと綻びた瞬間一瞬にして脆弱な状況が生まれ得ることも冷静に理解しておくべきである。

そもそも論として、ユーザーのセキュリティに関わる問題なのだから本来は「何故携帯網は安全なのか」「どのような状況においてどのようなリスクがあるのか」各キャリアは率先して消費者に対して説明すべきだ。それをNDAなどを振りかざして情報統制することで安全を守っていると思っているのなら、思い上がりも甚だしい。本当に安全だというのならきちんと論理立てて説明可能でなければ、常に脆弱性やリスクがつきまとっていると考えるのがセキュリティ上の基本である。
SIMロック解除論議もいいけど、こういう消費者保護のための説明責任こそ法律やガイドラインで強制すべき段階に来ているのではないかなあ。