RFIDをめぐる各国の法整備とわが国の課題(3)〜日本のICタグ利用に関するガイドラインとは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)

RFIDをめぐる各国の法整備とわが国の課題(3)〜日本のICタグ利用に関するガイドラインとは

特集 特集

 ウェブサイトに潜む脆弱性と聞いて何を思い浮かべるだろうか。近年特にその危険性が指摘されているのが、クロスサイトスクリプティングに代表される、Webアプリケーションの脆弱性を突いた攻撃である。これらの手法は残念なことに、PC向けサイトにおいては一般的に定着している。実は広くは知られていないが、この手法は今までセキュリティ問題が話題に上ることのなかった携帯サイトに対しても、立派に通用してしまうのだ。

 このような状況の中、国内の先陣を切る形で、2005年1月25日に携帯電話情報サービス最大手の株式会社サイバードとセキュリティ事業も手掛ける情報通信インテグレータの京セラコミュニケーションシステム株式会社(以下 KCCS)とが共同で「携帯電話向けWebサイトのセキュリティサービス」の提供を発表した。今回は、本サービス立ち上げのキーマンである株式会社サイバード技術統括部長の落合氏とKCCS ITソリューション事業本部副事業本部長の徳丸氏とに、携帯電話向けWebサイトの脆弱性と、サービス立ち上げの経緯から今後の展開まで、幅広く語っていただいた。


■携帯電話向けWebサイトに潜む脆弱性
―― 始めに、携帯電話向けWebサイトの脆弱性についてお話いただけますでしょうか。

徳丸氏 「Webアプリケーションの脆弱性とは、Webサーバ等に内在する脆弱性とは異なり、Webサーバにコンテンツを載せた時点で初めて顕在化します。入力フォームのテキスト欄にURLなどの制御文字を書き込むクロスサイトスクリプティングが有名です。一言でまとめるなら、これは、Webアプリケーションのバグです。」

落合氏 「残念ながら携帯向けWebサーバのアプリケーションでも、同様のバグ、つまり脆弱性は存在しています。また、PC向けWebアプリケーションの脆弱性とは異なる、携帯特有の脆弱性もあります。」

徳丸氏 「PCの場合、ブラウザ上にURLが表示されますから、簡単なフィッシング詐欺などであれば、回避することができますよね。しかし、携帯の場合、画面上にURLすら表示されませんから、PC以上に危険性は高いですね。」

落合氏 「確かにそれは現在の携帯特有の脆弱性の一つで、メーカー側では修正していく方向にあるようです。その他にも、特定の端末のみで悪用できてしまう脆弱性や、携帯キャリアのインフラの仕組みに由来する脆弱性なども存在しています。」


■重要視されるようになってきた携帯電話向けWebアプリケーション脆弱性
―― 携帯電話向けWebアプリケーション脆弱性について、以前から認識されていたのでしょうか。

徳丸氏 「KCCSの基幹事業のひとつに、強固なセキュリティを確保したデータセンタサービスがあります。その初期からケータイサイトのホスティングを行っています。その経緯から、携帯電話向けWebアプリケーション脆弱性について、危機感は持ち続けていました。」

落合氏 「サイバードでも、創業期からセキュリティに対する意識はありました。ただ、携帯電話向けWebサイトの構築と安定稼動を最優先に考えてしまい、セキュリティのプライオリティが相対的に高くなかったのも事実です。その背景には、着信メロディなどの課金コンテンツサイトにおいては、仮にWebアプリケーションから情報が流出したとしても、個人情報などの重要情報が含まれていなかったのです。」

徳丸氏 「ところが昨年、重要情報の流出事件が相次いで起こりましたね。あまり報道されていないのですが、某キャンペーンサイトや某メディア系サイトなどで個人情報が流出しました。あぁ、ついに起こったかという印象を持ちました。」

落合氏 「同じ頃、サイバードではプライバシーマークを取得したこともあり、セキュリティに本腰を入れる必要性を本気で感じました。携帯電話Webサイトが社会インフラ化してきた、セキュリティのプライオリティは今後必然的に上がると、直感的に思いましたね。」


■携帯電話向けサイトに潜むWebアプリケーションの現状
―― 現在、国内の携帯電話向けサイトには、どれくらいWebアプリケーションの脆弱性が存在するのでしょうか。

落合氏 「正直なところ、割合などの詳細はわかりません。恐らく誰も調べていないはずです。サイバードでは、PC向けサイトに有効なWebアプリケーション攻撃パターンについて、KCCSさんと共同で実際に、かなりの悪意を持った攻撃を可能とするため、専用のテスト環境での試験を行っています。総合的な検証結果として、それらの攻撃の、携帯電話向けサイトに対しての詳細な有効性は把握しています。」

徳丸氏 「KCCSでは、システムの内部製作率は比較的高いのですが、外部に委託することもあります。すると、納品時の検収でセキュリティチェックに引っかかるものが、結構ありますよ。サイバードさんでもそういう事例がないですか?」

落合氏 「具体例はお話できませんが、実際に意識が高まってきているのは事実です。2月3日に行ったセミナーにも多くのお客様に参加いただきました。多くのサイトは未対策なのが実情ではと、肌で感じました。対策を取っている企業もありますが、モバイル専門サイトばかりではなく、PC向けサイトのおまけ程度にモバイルサイトを構築するケースも多く、リスクは高いと思います。」

徳丸氏 「確かに先日のセミナーの関心は高かったです。携帯電話向けサイトのアプリケーション脆弱性を攻撃するデモの反響は特に大きかった。危険性をそれなりに感じているが、明確な対策レベルまで落とし込めていない、これが現場の現状ではないでしょうか。」

落合氏 「ええ、明らかに携帯電話向けサイトのセキュリティ対策は遅れていますね。先ほど話した通り、これまでモバイル市場の牽引役であった課金コンテンツ以外にも、多くのモバイルサイトやモバイルサービスが登場し、携帯は社会インフラとなっています。ですので、モバイル戦略は多くの企業で成長への鍵となるわけです。その中で、携帯電話向けサイトで個人情報を扱う機会は飛躍的に増えるはずですから、携帯電話向けサイトのリスクに対する考え方も、大きく変えていく必要が出てくるでしょう。」


【執筆:小松信治(アイドゥ)】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  10. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×