2010年02月21日
■ はてなのかんたんログインがオッピロゲだった件
- かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日
といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。
昨年夏の話。
2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。
- 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日
- SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日
- ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日
- モバイル用GWのIPアドレスを気にしてた時代もあったなぁ, とあるモバイル系エンジニアの日々, 2009年8月5日
- SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日
「実際に動いてすぐ使える」などと無責任なライブラリを出した ke-tai.org の著者に対して、「絶望的にわかってない」といったコメントが寄せられていた。
この一連の流れを読んで、私はやっと理解した。ここで指摘されていた方法で突破されてしまう実装は少ないのではないかと思ったのと同時に、何がいけないのかを理解し、ここには出てこなかったもっと別の方法(X)で、IPアドレス制限を突破できてしまう駄目な実装があり得ると思った。ならば、その実例を探して(修正を促した後)、それを広く周知すればよいと、そう考えたのだった。
まず最初に調べたのは「ポケットはてな」だった。最も身近なサイトであるのと同時に、「はてなならやりかねない」と、そう思ったからだ。
さっそく、その方法(X)で接続し、ポケットはてなの「かんたんログイン」ボタンに、携帯電話からではなく、通常のインターネット回線経由でパソコンから telnet でアクセスした。事前に、自分の携帯電話でポケットはてなに「かんたんログイン」の設定をしておき、自分の携帯電話の契約者固有IDを、HTTPリクエストのヘッダとして、telnet で手作業で送信した。
すると、思った通り、突破できてしまった。ログイン済みとして紐付けられたセッションIDが発行され、そのセッションIDでアクセスすれば、私のアカウント HiromitsuTakagi でのログイン状態となった。
ところが、テストしているうちに、何だかおかしいことに気づいた。(X)の方法を使っていないときでも、ログインできているようなのだ……。
半信半疑ながら、検査手順を整理して改めてテストしてみると、やっぱりログイン状態になる。つまり、なんと、ポケットはてなは、はじめっからIPアドレス制限なんぞ、まったくしていなかったのだ。
これにはぶったまげた。いくらなんでもそれはないわ。あれだけ度々、はてなブックマークのセキュリティタグ界隈で、契約者固有IDによる「かんたんログイン」の危うさが話題にのぼっていたのに、はてなの人らは、見てないのか?
急ぎ、脆弱性報告書を作成し、はてなに送付すると同時に、IPAの脆弱性届出窓口に通報した。はてなに送付した文面は以下の通りである(一部伏せ字)。
株式会社はてな 情報セキュリティ対応係 御中
2009年8月9日(第2版)
はてなの「かんたんログイン」が何の対策もされておらず
どこからでもなりすましログインされる欠陥について携帯電話向けWebアプリケーションの「かんたんログイン」方式の危険性について調査する過程で、はてなの「かんたんログイン」機能を調べたところ、何ら、なりすまし対策がなされておらず、どこのIPアドレスからでもいつでも誰にでもなりすまして不正ログインされてしまうという、致命的でこれ以上なく初歩的な欠陥があることに、ついさきほど気づきましたので、以下の通り、取り急ぎお知らせします。
1. はてなの「かんたんログイン」機能の挙動
私のはてなアカウント「HiromitsuTakagi」は、「かんたんログイン」機能を有効にする設定を、私の所有するauの携帯電話にて行っています。そして、はてなの「かんたんログイン」機能は、たとえば、http://mobile.hatena.ne.jp/ に「ログイン」というリンクで案内されており、そのリンク先のURLは以下のものになっています。
http://www.hatena.ne.jp/mobile/easylogin?uid=NULLGWDOCOMO&(略)
そこで、以下のHTTPリクエストを、直接 www.hatena.ne.jp の80番ポートにTCP接続することによって、手作業で送信しました。ここで、「X-Up-Subno:」フィールドの値は、私のau携帯電話の契約者固有ID(EZ番号)です。
GET /mobile/easylogin HTTP/1.1
Host: www.hatena.ne.jp
User-Agent: KDDI-ST33 UP.Browser/6.2.0.13.2 (GUI) MMP/2.0
X-Up-Subno: 0500XXXXXXXXXX_mg.ezweb.ne.jpこの接続は通常のインターネット回線から行いましたが、正常に送信することができ、以下のHTTPレスポンスが返ってきました。
HTTP/1.1 302 Found
Date: Sat, 08 Aug 2009 14:11:11 GMT
Server: Apache/2.2.3 (CentOS)
Cache-Control: no-cache
Pragma: no-cache
Location: http://mobile.hatena.ne.jp/?sid=1eaeXXXXXXXXXXXX
(略)ここでリダイレクト先として指定されているURLに、セッションIDらしきものが含まれています。このURLに、初期状態のWebブラウザ(cookieを消去した通常のWebブラウザで、はてなにログインしていない状態)で、通常のインターネット回線からアクセスしてみたところ、「ようこそHiromitsuTakagiさん」と表示され、私のアカウントでログインした状態となりました。つまり、パスワードを入力していないのに、私のアカウントでログインした状態となりました。
2. セキュリティ上の問題点
上記の挙動から、他人の携帯電話の契約者固有IDを知り得る立場の者であれば、「かんたんログイン」設定を有効にしているはてなユーザに対して、なりすまして不正ログインできてしまうと推察されます。
携帯電話の契約者固有ID(EZ番号等)は、Webサイト運営者であえれば誰でも他人のIDを入手することのできるものですから、事実上、誰でもはてなに不正ログインができてしまう、極めて危険な状態にあると考えます。
3. 生じ得る被害
なりすましログインによって、たとえば、はてなダイアリーへ偽の投稿をされたり、既存のダイアリーを改竄される危険性があるようです。その他にも、パスワードなしに操作可能な機能によって、何らかの被害が生じ得るかもしれませんが、確認していません。
以上
この文書を8月10日にはてなにメールで送付した。すぐに「修正対応を検討している」との返事があり、その後、「8月31日に脆弱性への対策を行った」との連絡があった。
当時のテストの様子(不正アクセス行為を伴わない寸止めテスト手法の様子)は、以下の図のとおりである。
(X-Up-Subno には自分の契約者固有IDをセットしている)
(「ようこそ HiromitsuTakagi さん」とログイン状態になっている)
私のEZ番号を知っている人なら、誰でも私の日記を改竄等できてしまう状態だった。
正直、げんなりした。これがケータイWeb業界の実情なのか……と。
心配になったので、「かんたんログイン」でWeb検索して、かんたんログインを提供しているサイトを探し、見つかったところから手当たりしだいに、自分用のアカウントを登録して、自分のアカウントでテストしてまわった。
そうしたところ、他に4か所のサイトで同様の事例が見つかった。(そのうち3か所は、同じところが作った同一のWebアプリケーションだった。)これらについて、Webサイト運営者に脆弱性報告書を送付すると同時に、IPAの脆弱性届出窓口に通報して、修正を促した。
ただ、全部を調べたわけではない。数日間しか探さなかったし、アカウントを自由に登録させてもらえないサイトは調査していないし、マイナーすぎるサイトもスキップした。
こんな事態になっているのは、携帯電話会社が、どうやったら「かんたんログイン」なるものが実現できるのか、ちゃんとした実装方法の公式解説を出さないからだろう。もっとも、契約者固有IDを「かんたんログイン」の用途で使えると公式に認めているのは、NTTドコモだけだったかもしれない。
これだけ明確にこの用途を公式に掲げたのだから、NTTドコモの責任で問題解決にあたるべきだろう。*2
はてなは、その後、10月21日に「かんたんログインがよりかんたんになりました」というリニューアルを発表した。リニューアル後の構成についても調べたところ、修正後のポケットはてなの実装では、(X)の手法の影響は受けないものになっていた。
では、(X)の手法の影響を受けるサイトはあったのか。(X)の手法とは何か。これについては、JVNでの公表を待って、近々、公表して注意喚起したい。
*1 携帯電話キャリアのゲートウェイのIPアドレスからのアクセスに限定する処置。
*2 もっとも、それ以前に、iモードID等の契約者固有IDは廃止されるべきなのだが。
はてなのかんたんログインがオッピロゲだった件
ほほう。
契約者固有IDは、結構いろんな携帯サイトで求められて、それが自分認証に..
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
- はてなブックマークコメント ×295 : 244, 16, 6, 5, 4, 3, 3, 3, 2, 2, 2, 1, 1, 1, 1, 1 (2021-12-16)
- RinRin王国 ×590 : 568, 11, 9, 1, 1 (2020-08-02)
- http://mibai.tec.u-ryukyu.ac.jp/~oshiro/SiteList/memo-link.h... ×5 (2016-04-10)
- https://www.google.co.jp ×15 (2015-09-29)
- はてなダイアリー [khashi] ×15 : 12, 2, 1 (2012-01-18)
- http://www.tokumaru.org/d/20110101-6.html ×10 (2011-09-01)
- OKWave [qa5744112] ×135 : 64, 62, 3, 2, 1, 1, 1, 1 (2011-07-08)
- mixi diary [6306775] ×27 : 25, 1, 1 (2011-06-04)
- はてなダイアリー [khashi 20100224] ×19 : 17, 1, 1 (2011-05-15)
- http://www.tokumaru.org/d/20100325-6.html ×5 (2011-05-15)
- http://www.dfnt.net/t/photo/1011.shtml ×110 (2010-11-14)
- http://www.dfnt.net/t/photo/index.shtml ×318 (2010-11-13)
- はてなダイアリー [hatenamobile 20100226] ×4 (2010-10-31)
- 2ちゃんねる掲示板 [newsplus 1287977858] ×2 : 1, 1 (2010-10-26)
- http://www.tokumaru.org/d/?date=201010 ×4 (2010-10-06)
- http://www.tokumaru.org/d/20101003.html ×361 (2010-10-03)
- http://jyoudou.net/news/ ×7 (2010-09-09)
- http://ct.syslabo.com/public_timeline ×6 (2010-09-04)
- はてなダイアリー [hideden 20090801] ×10 (2010-05-26)
- http://webmemo.uzuralife.com/article/2274 ×6 (2010-04-27)
- http://ke-tai.org/blog/2009/07/31/kantansample/ ×10 (2010-04-26)
- http://tsutsuji-net.jp/modules/d/diary_view.phtml?id=134739&... ×5 (2010-04-19)
- http://knowledge.visionary.jp/sns/?m=pc&a=page_fh_diary&targ... ×4 (2010-04-19)
- http://bakera.jp/htmlbbs/inthread/5738 ×5 (2010-03-25)
- http://bakera.jp/ebi/topic/4085/comment ×16 (2010-03-24)
- http://wwwadmr2f.rap.raftel/trac/ticket/872 ×5 (2010-03-19)
- http://yoshy.wordpress.com/2010/02/22/links-for-2010-02-21/ ×20 (2010-03-15)
- mixi bbs [49846509] ×12 : 8, 2, 1, 1 (2010-03-13)
- http://blog.rocaz.net/2010/03/850.html ×507 (2010-03-10)
- Twitter [nakayoshix] ×3 : 2, 1 (2010-03-09)
- はてなブックマークコメント [www.itmedia.co.jp/enterprise/articles/1003/05/news076.html] ×7 (2010-03-08)
- Twitter [ketaiorg] ×11 : 6, 3, 1, 1 (2010-03-07)
- http://tokumaru.org/d/20100222.html ×6 (2010-03-02)
- ココログ [daishi moe] ×16 : 12, 4 (2010-03-01)
- はてなダイアリー [whiteball22] ×18 : 16, 2 (2010-02-27)
- http://www.tokumaru.org/d/20100212.html ×5 (2010-02-26)
- http://koshiplay.com/index.php?id=634 ×4 (2010-02-25)
- Tumblr [otsune] ×9 : 3, 2, 1, 1, 1, 1 (2010-02-23)
- jcom.home.ne.jp [sarasiru] ×283 : 220, 62, 1 (2010-02-23)
- mew5.com ×12 (2010-02-23)
- Yahoo!ブックマーク [action] ×5 : 3, 2 (2010-02-23)
- セキュリティホールmemo ×2400 : 2149, 230, 17, 2, 1, 1 (2010-02-22)
- はてなブックマークコメント [ke-tai.org/blog/2009/07/31/kantansample/] ×13 (2010-02-22)
- Twitter [xev_ra] ×3 : 2, 1 (2010-02-22)
- http://www.tokumaru.org/d/ ×140 (2010-02-22)
- http://gururin.com/635736612/1 ×4 (2010-02-22)
- livedoorクリップコメント ×4 (2010-02-22)
- Twitter [ockeghem] ×4 : 3, 1 (2010-02-22)
- http://www.tokumaru.org/d/20100222.html ×661 (2010-02-22)
- Twitter [anmi] ×5 (2010-02-22)
- Twitter [torly] ×10 (2010-02-22)
- Tumblr [nikunoki] ×8 (2010-02-22)
- http://wassr.jp/user/ockeghem ×4 (2010-02-22)
- はてなダイアリー [orangevtr 20090805] ×4 (2010-02-22)
- http://onepark.inlab.cl.nec.co.jp:10080/services/scuttle/ ×4 (2010-02-22)
- http://w3.ibm.com/connections/blogs/bassoon5091/entry/01_feb... ×12 (2010-02-22)
- http://w3.ibm.com/connections/blogs/bassoon5091/?lang=ja ×6 (2010-02-22)
- http://www.appbank.net/2010/02/22/iphone-news/95442.php ×80 (2010-02-22)
- Twitter [rnatori] ×4 (2010-02-22)
- Twitter [hatebu] ×40 : 33, 4, 2, 1 (2010-02-22)
- http://zafiel.wingall.com/prx.php?key=dev&url=http://is.gd/8... ×4 (2010-02-22)
- http://zapanet.info/new/hatebu5/ ×5 (2010-02-21)
- http://zapanet.info/new/hatebu4/ ×8 (2010-02-21)
- http://zapanet.info/new/hatebu/ ×4 (2010-02-21)
- http://www.geocities.jp/twicli/twicli.html ×9 (2010-02-21)
- Twitter [kimtea] ×3 : 2, 1 (2010-02-21)
- http://wassr.jp/my/ ×5 (2010-02-21)
- かんたんログイン ×483 / 簡単ログイン ×116 / キーワード不明 ×97 / 高木浩光 ×72 / 携帯 かんたんログイン ×60 / 携帯 簡単ログイン ×58 / 簡単ログイン 実装 ×34 / 簡単ログイン セキュリティ ×32 / 携帯電話 簡単ログイン ×23 / かんたんログイン セキュリティ ×23 / かんたんログイン 実装 ×18 / Hiromitsu Takagi ×18 / かんたんログイン 脆弱性 ×16 / 高木浩光 かんたんログイン ×16 / はてな かんたんログイン ×13 / かんたんログインとは ×12 / 携帯 簡単ログイン セキュリティ ×9 / 高木浩光 かんたんアクセス ×9 / 簡単ログイン はてな ×8 / はてな ×8 / かんたんログイン 高木 ×8 / 高木 かんたんログイン ×8 / はてな ログイン ×8 / かんたんログイン はてな ×7 / -hiromitsu.jp かんたんログイン ×7 / 高木浩光 はてな ×6 / はてな 高木 ×6 / 高木 簡単ログイン ×6 / ログイン ×6 / 簡単ログイン 危険 ×6 / かんたんログイン 問題 ×6 / 簡単ログイン 問題点 ×6 / かんたんログイン なりすまし ×5 / 自分の携帯 IDを見る ×5 / はてなのかんたんログインがオッピロゲだった件 ×5 / 簡単ログイン HTTPS ×5 / かんたんログイン 危険 ×5 / はてなのかんたんログイン ×5 / iモードid 脆弱性 ×5 / セキュリティ かんたんログイン ×4 / はてな オッピロゲ ×4 / 高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件 ×4 / はてな 高木浩光 ×4 / 高木 ×4 / はてな 簡単ログイン ×4 / 高木 はてな ×4 / 不正アクセス かんたんログイン ×4 / 携帯電話の「簡単ログイン」 ×4 / かんたんログイン ipa ×4 / iモードID 簡単ログイン ×4 / 簡単ログイン 携帯 ×4 / 徳丸浩 高木浩光 ×4 / 携帯簡単ログイン ×4 / モバイル 簡単ログイン ×4 / 高木浩光 かんたん ×3 / 携帯サイト 簡単ログイン ×3 / かんたんログイン au ×3 / はてなログイン ×3 / http://takagi-hiromitsu.jp/diary/20100221.html ×3 / かんたんログイン 対策 ×3 / 簡単ログイン 脆弱性 ×3 / かんたんログイン 問題点 ×3 / 日記 はてな ×3 / カンタンログイン ×3 / かんたんログイン IP ×3 / かんたん ログイン ×3 / hiromitsu takagi ×3 / かんたんログイン問題 ×3 / 契約者固有ID 突破 ×3 / 携帯電話 かんたんログイン ×3 / docomo 簡単ログイン ×3 / 簡単ログイン 問題 ×3 / iモード かんたんログイン ×3 / かんたんログイン ログイン状態 ×3 / かんたんログイン IPアドレス ×3 / iモードID 問題 ×3 / かんたんログイン 携帯 ×3 / はてな 脆弱性 ×2 / かんたんログイン テスト ×2 / 簡単ログイン対策 ×2 / 高木浩光@自宅の日記 かんたんログイン ×2 / ハテナ オッピロゲ ×2 / 契約者固有ID au 調べる ×2 / imode 簡単ログイン ×2 / perl 携帯 簡単ログイン ×2 / ドコモ 簡単ログイン ×2 / 簡単ログイン問題 ×2 / HiromitsuTakagi 簡単ログイン ×2 / 簡単ログイン サンプル ×2 / 高木浩光 簡単ログイン ×2 / iモードid セキュリティ ×2 / 高木 浩光 ×2 / 携帯かんたんログイン ×2 / 簡単ログイン なりすまし ×2 / かんたんログイン アプリ ×2 / 高木浩光 ログイン ×2 / はてなのかんたんログインが ×2 / かんたんろぐいん ×2 / iモード ログイン 簡単 ×2 / iモードID なりすまし ×2 / かんたんログイン 欠陥 ×2 / 簡単ログイン セキュリティ 対策 ×2 / はてな IPアドレス ×2 / かんたんログイン 廃止 ×2 / 簡単ログイン php ×2 / iモードID なりすまし 対策 ×2 / 他人の携帯をみるには ×2 / かんたんログインが危険なわけ ×2 / 携帯 簡単ログイン 実装 ×2 / 高木浩光 telnet ×2 / 他人の携帯のメールを見る方法 ×2 / かんたんログイン 脆弱性 テスト ×2 / 携帯 簡単 ログイン 方式 ×2 / iモードIDの問題点 ×2 / かんたんログイン実装 ×2 / 携帯ID 簡単ログイン ×2 / docomo かんたんログイン ×2 / ポケットはてな日記 ×2 / オッピロゲ ×2 / 簡単ログイン 危険性 ×2 / 簡単ログイン ブックマーク ×2 / タカギ ST-33 ×2 / 携帯 はてな 脆弱性 ×2 / "(X)の手法" ×2 / 簡単ログイン 実装方法 ×2 / 簡単ログインとは ×2 / モバイル IPの制限の突破方法 ×2 / かんたんログイン HTTPS ×2 / ケータイ 簡単ログイン ×2 / iモードID セッション ×2 / かんたんログイン ボタン ×2 / http://takagi-hiromitsu.jp/diary/20100221.html#p01 ×2 / 不正アクセス テスト方法 ×2 / 携帯 ログイン 問題 高木 ×2 / はてなダイアリー 別のアカウントでログインした状態 ×2 / ke-tai.org セッション管理 ×2 / 携帯電話用ブラウザ 簡単ログイン 実装問題 ×2 / 簡単ログイン takagi ×2 / 対策 かんたんログイン ×2 / 簡単ログイン 高木 ×2 / かんたんログイン セッション ×2 / 徳丸浩 簡単ログイン HTTPS ×2 / 携帯 apache 簡単 ログイン ×2 / IモードID 改ざん ×2