対談記事:携帯サイトからの情報漏えいを防ぐ 〜サイバードと京セラコミュニケーションシステム、共同で新規サービスを展開〜 | ScanNetSecurity
2024.04.25(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

対談記事:携帯サイトからの情報漏えいを防ぐ 〜サイバードと京セラコミュニケーションシステム、共同で新規サービスを展開〜

 ウェブサイトに潜む脆弱性と聞いて何を思い浮かべるだろうか。近年特にその危険性が指摘されているのが、クロスサイトスクリプティングに代表される、Webアプリケーションの脆弱性を突いた攻撃である。これらの手法は残念なことに、PC向けサイトにおいては一般的に定着

特集 特集
 ウェブサイトに潜む脆弱性と聞いて何を思い浮かべるだろうか。近年特にその危険性が指摘されているのが、クロスサイトスクリプティングに代表される、Webアプリケーションの脆弱性を突いた攻撃である。これらの手法は残念なことに、PC向けサイトにおいては一般的に定着している。実は広くは知られていないが、この手法は今までセキュリティ問題が話題に上ることのなかった携帯サイトに対しても、立派に通用してしまうのだ。

 このような状況の中、国内の先陣を切る形で、2005年1月25日に携帯電話情報サービス最大手の株式会社サイバードとセキュリティ事業も手掛ける情報通信インテグレータの京セラコミュニケーションシステム株式会社(以下 KCCS)とが共同で「携帯電話向けWebサイトのセキュリティサービス」の提供を発表した。今回は、本サービス立ち上げのキーマンである株式会社サイバード技術統括部長の落合氏とKCCS ITソリューション事業本部副事業本部長の徳丸氏とに、携帯電話向けWebサイトの脆弱性と、サービス立ち上げの経緯から今後の展開まで、幅広く語っていただいた。


■携帯電話向けWebサイトに潜む脆弱性
―― 始めに、携帯電話向けWebサイトの脆弱性についてお話いただけますでしょうか。

徳丸氏 「Webアプリケーションの脆弱性とは、Webサーバ等に内在する脆弱性とは異なり、Webサーバにコンテンツを載せた時点で初めて顕在化します。入力フォームのテキスト欄にURLなどの制御文字を書き込むクロスサイトスクリプティングが有名です。一言でまとめるなら、これは、Webアプリケーションのバグです。」

落合氏 「残念ながら携帯向けWebサーバのアプリケーションでも、同様のバグ、つまり脆弱性は存在しています。また、PC向けWebアプリケーションの脆弱性とは異なる、携帯特有の脆弱性もあります。」

徳丸氏 「PCの場合、ブラウザ上にURLが表示されますから、簡単なフィッシング詐欺などであれば、回避することができますよね。しかし、携帯の場合、画面上にURLすら表示されませんから、PC以上に危険性は高いですね。」

落合氏 「確かにそれは現在の携帯特有の脆弱性の一つで、メーカー側では修正していく方向にあるようです。その他にも、特定の端末のみで悪用できてしまう脆弱性や、携帯キャリアのインフラの仕組みに由来する脆弱性なども存在しています。」


■重要視されるようになってきた携帯電話向けWebアプリケーション脆弱性
―― 携帯電話向けWebアプリケーション脆弱性について、以前から認識されていたのでしょうか。

徳丸氏 「KCCSの基幹事業のひとつに、強固なセキュリティを確保したデータセンタサービスがあります。その初期からケータイサイトのホスティングを行っています。その経緯から、携帯電話向けWebアプリケーション脆弱性について、危機感は持ち続けていました。」

落合氏 「サイバードでも、創業期からセキュリティに対する意識はありました。ただ、携帯電話向けWebサイトの構築と安定稼動を最優先に考えてしまい、セキュリティのプライオリティが相対的に高くなかったのも事実です。その背景には、着信メロディなどの課金コンテンツサイトにおいては、仮にWebアプリケーションから情報が流出したとしても、個人情報などの重要情報が含まれていなかったのです。」

徳丸氏 「ところが昨年、重要情報の流出事件が相次いで起こりましたね。あまり報道されていないのですが、某キャンペーンサイトや某メディア系サイトなどで個人情報が流出しました。あぁ、ついに起こったかという印象を持ちました。」

落合氏 「同じ頃、サイバードではプライバシーマークを取得したこともあり、セキュリティに本腰を入れる必要性を本気で感じました。携帯電話Webサイトが社会インフラ化してきた、セキュリティのプライオリティは今後必然的に上がると、直感的に思いましたね。」


■携帯電話向けサイトに潜むWebアプリケーションの現状
―― 現在、国内の携帯電話向けサイトには、どれくらいWebアプリケーションの脆弱性が存在するのでしょうか。

落合氏 「正直なところ、割合などの詳細はわかりません。恐らく誰も調べていないはずです。サイバードでは、PC向けサイトに有効なWebアプリケーション攻撃パターンについて、KCCSさんと共同で実際に、かなりの悪意を持った攻撃を可能とするため、専用のテスト環境での試験を行っています。総合的な検証結果として、それらの攻撃の、携帯電話向けサイトに対しての詳細な有効性は把握しています。」

徳丸氏 「KCCSでは、システムの内部製作率は比較的高いのですが、外部に委託することもあります。すると、納品時の検収でセキュリティチェックに引っかかるものが、結構ありますよ。サイバードさんでもそういう事例がないですか?」

落合氏 「具体例はお話できませんが、実際に意識が高まってきているのは事実です。2月3日に行ったセミナーにも多くのお客様に参加いただきました。多くのサイトは未対策なのが実情ではと、肌で感じました。対策を取っている企業もありますが、モバイル専門サイトばかりではなく、PC向けサイトのおまけ程度にモバイルサイトを構築するケースも多く、リスクは高いと思います。」

徳丸氏 「確かに先日のセミナーの関心は高かったです。携帯電話向けサイトのアプリケーション脆弱性を攻撃するデモの反響は特に大きかった。危険性をそれなりに感じているが、明確な対策レベルまで落とし込めていない、これが現場の現状ではないでしょうか。」

落合氏 「ええ、明らかに携帯電話向けサイトのセキュリティ対策は遅れていますね。先ほど話した通り、これまでモバイル市場の牽引役であった課金コンテンツ以外にも、多くのモバイルサイトやモバイルサービスが登場し、携帯は社会インフラとなっています。ですので、モバイル戦略は多くの企業で成長への鍵となるわけです。その中で、携帯電話向けサイトで個人情報を扱う機会は飛躍的に増えるはずですから、携帯電話向けサイトのリスクに対する考え方も、大きく変えていく必要が出てくるでしょう。」


【執筆:小松信治(アイドゥ)】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

RoamWiFi R10 に複数の脆弱性 画像

RoamWiFi R10 に複数の脆弱性
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report) 画像

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Armeria-saml に SAML メッセージ取り扱い不備 画像

Armeria-saml に SAML メッセージ取り扱い不備
LINE client for iOS にサーバ証明書の検証不備の脆弱性 画像

LINE client for iOS にサーバ証明書の検証不備の脆弱性
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 画像

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性 画像

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に 画像

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に 画像

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず 画像

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由 画像

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか 画像

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性 画像

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表 画像

国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス 記事一覧へ

札幌でワークショップ「CSIRTのはじめ方 ー そして続けられるように」5/16 開催 画像

札幌でワークショップ「CSIRTのはじめ方 ー そして続けられるように」5/16 開催
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供 画像

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供
脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント 画像

研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開
脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×