高木浩光＠自宅の日記

■ 公衆無線LANで使うと危ないiPod touchアプリに注意

ヨドバシカメラでiPod touchを購入すると公衆無線LANサービスの加入案内が付いてくるように、iPod touchは、公衆無線LANでの使用が奨励されている機器である。

しかし、現状の公衆無線LANサービスは、無線通信の暗号化に用いる鍵が加入者全員で同一のところがほとんどであり（あるいは、暗号化しないところもある）、電波を傍受されて通信内容を読まれる危険性や、気付かないうちに偽アクセスポイントに接続してしまう（そして、通信内容を読まれたり書き換えられたりする）危険性がある。

ただ、現時点では、このリスクはしかたのないものとして受容されており、その代わりに、パスワードや重要な情報を送受信する際には、アプリケーションレベルでの暗号化（SSL等の使用）が必須という考え方になっている。

つまり、Webブラウザを使う場合であれば、「安全なWebサイト利用の鉄則」の手順に従って、入力の直前に、SSLでの接続（とドメイン名）を確認することが必須ということになる。

では、Webブラウザ以外の、それぞれのiPhone/iPod touchアプリはどうなっているのだろうか。

パスワードを送信していそうなアプリとして、「はてな touch」、「mixi」（mixi公式アプリ）、「MixiDock mini」の3つ（図1）について調べてみた。

図1: 「はてな touch」と「mixi」と「MixiDock mini」

これら3つのアプリは、いずれも、アプリの設定画面でIDとパスワード（はてなやmixiの）を保存し（図2）、パスワードが必要な操作をしたときにそれを自動送信するように作られている。

図2: 「はてな touch」のID・パスワード保存画面
（パスワードは架空のもの）

図3は、「はてな touch」でログインが必要な機能を使用したときの通信内容を傍受した様子*1である。

図3: 「はてな touch」使用時の無線LAN通信の傍受

「X-Wsse」「WWW-Authenticate: WSSE ...」とあることから、Atom Publishingプロトコル（RFC 5023）でかつてしばしば用いられていた、いわゆる「WSSE認証」*2が用いられているようだ。

調べてみると、「はてな touch」のページに、「はてなダイアリー AtomPub」を使用していると書かれており、はてなの「はてなダイアリーAtomPub」には、「はてなダイアリーAtomPubを利用するために、クライアントはWSSE認証を行う必要があります」と書かれている*3。

この認証方式では、パスワードのハッシュ値が送信されているので、傍受されても（パスワード文字列が十分に長ければ）パスワードを復元されない*4。

次に、mixiの公式アプリについて調べてみた。

図4: 「mixi」使用時の無線LAN通信の傍受

図4のように、mixiの公式アプリもいわゆる「WSSE認証」を使っているようだ。

ところで、このmixiの公式アプリは評判が悪いようだ。App Storeのレビューで酷評されており（図5）、ギズモード・ジャパンの「MixiDock mini」の紹介記事でも、「mixi公式アプリより使いやすかったりするかも」「その反面、公式のmixiアプリは（略）レビューも散々なことになっていますけど…。」と、mixi公式アプリの不評ぶりを伝えている。

図5: mixi公式アプリに対する酷評

では、その公式より良いと評判の「MixiDoc mini」の通信内容はどうなっているだろうか。

図6: 「MixiDoc mini」使用時の無線LAN通信の傍受
（「flower」は架空のパスワード）

IDとパスワードが丸見えだ。SSLも通していない。

というわけで、「MixiDoc mini」はパスワードを盗聴される危険性があるので、特に公衆無線LANで使用しないよう、注意が必要だ。

解決策としては、アプリの開発者らがSSLを通すように作るべきだろう。*5

このように、（Webブラウザの場合では、WebサイトがちゃんとSSLを使っているかどうかは利用者が目視で確認することができたのに対し、）個別に作られたアプリケーションの場合は、それがちゃんと暗号化を施しているかどうかは、通信を傍受するなどして確かめてみないとわからないという問題がある。

よって、重要な情報を送受信するアプリがちゃんと暗号化をしているかどうか、皆で監視して、情報共有していかなければならない。（こういう役割は、ギズモード・ジャパンのようなソフト紹介のメディアに担ってもらいたい。）