ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

ニュースです。

ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようで、ケータイ界隈のニュースサイトやブログで話題になっています。

時系列的には、YOMIURI ONLINEが最初に記事を掲載したようです。

→　YOMIURI ONLINE（読売新聞）　ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因 [yomiuri.co.jp]

その後、多くのニュースソースで取り上げられたようです。
内容的にはこちらの記事が的確でわかりやすいと思います。

→　ITmedia News　クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 [itmedia.co.jp]

クロネコヤマト本家サイトの謝罪文はこちらです。

→　ヤマト運輸　携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について [kuronekoyamato.co.jp]

どうも情報をまとめると、端末IDによるかんたんログイン機能を利用していたのに、IPアドレスによる制限をかけていなかった（もしくはiPhoneのIPアドレスは許可していた）というように読めます。
一番上のYOMIURI ONLINEの記事だと、一見iPhoneのアプリ「SBrowser」が悪いようにも読めるので、あまり正確ではないように感じますね。

ヤマト運輸側の対応がすばらしかったとの意見も出ています。

→　[Z]ZAPAブロ～グ2.0　ヤマト運輸の対応が素晴らしかった [zapanet.info]

また、脆弱性を見つけた本人のブログエントリーも公開されています。

→　Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。

twitterやはてぶでは、いろんな情報が流れていますが、憶測の域を出ないものも多いので、このあたりにしておこうと思います。

本件は、最初の通報の時点から高木先生が絡んでいるようなので、おそらく近いうちに日記にまとめてくれることと思います。

また正確な情報が出てきましたら、記事にしたいと思います。

関連：

• マイコミジャーナルにもかんたんログインのセキュリティ問題の記事が掲載されています
• Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」