ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

昨年の11月末に発覚した、ドコモケータイのJavaScriptとかんたんログインの脆弱性の問題ですが、今頃になって読売新聞に取り上げられ、再び話題となっているようです。

読売新聞のニュースはこちらです。

→　YOMIURI ONLINE　最新２９機種ドコモ携帯、個人情報流出の恐れ [yomiuri.co.jp]

スラッシュドットにも飛び火してますね。

→　スラッシュドットジャパン　ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [slashdot.jp]

以前にも記事にしましたが、簡単に原理を説明しますと、JavaScriptは通常自ドメインとしか通信ができないのですが、それをDNSのDNS Rebindingを使って回避し、情報を盗み出すという方法のようです。

→　ke-tai.org　iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について [ke-tai.org]

読売新聞の記事の見出しはかなり強い書き方をしていますが、実際のところ未だ被害も出ていないようですし、利用もなかなか難しいのかもしれません。

対応方法は上記のエントリーに書いていますので、まだ対応を取られていないという方はチェックしてみてください。

関連：

• iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について
• JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」
• 不具合により停止されていたドコモのJavaScript機能が復活するようです

早いもので今年もあと僅かですね。
2009年の締めくくりということで当サイトで取り上げた記事の中から、私が開発者目線でケータイ業界の10大ニュースを取り上げてみました。

第1位:
iモードブラウザ2.0端末リリース、ドコモ端末でも外部CSSが利用可能に、クッキーやリファラ、JavaScriptにも対応

第1位からいきなり世間の人とズレズレなのは承知ですが、開発者目線から言うとなんと言ってもコレですね。
iモードブラウザ2.0端末が発売され、今後は徐々にですがあのstyle指定から開放されるはずです。
またクッキーにも対応し、セキュリティ上問題の出やすいURLによるセッション保持もなくなるはずです。ようやくドコモ端末がまともになってくれました。

関連エントリー
→　ドコモのiモードブラウザの仕様が2009年夏モデルから大幅に変更になるようです [5月19日]
→　ドコモ端末がついに外部CSSに対応したようです [5月20日]

第2位:
iモードブラウザ2.0がリリースされたが、その後すぐソフトウェアアップデートで利用禁止に

華々しくリリースされたはずのでiモードブラウザ2.0ですが、その目玉機能のひとつであるJavaScriptは、リリース後まもなくセキュリティ上の理由により利用できなくなってしまいました。その約5ヶ月あとの10月末にようやく復活しました。

関連エントリー
→　不具合により停止されていたドコモのJavaScript機能が復活するようです [10月26日]
→　iモードブラウザ2.0の特定ポートでの通信制限について [11月11日]
→　iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について [11月26日]

第3位:
国内初のAndroid端末がリリース

ドコモから国内初のAndroid端末「HT-03A」が発売されました。各地でAndroid勉強会なども多数行われ、開発者たちの関心を引きました。
iPhoneに比べると利用者はまだマニア層ばかりのように見えますが、来年にはソニーをはじめとする多くの端末が発売される予定となっており、ブレイクするかもしれません。

関連エントリー
→　国内初のAndroid端末「HT-03A」が発売されたので早速触ってみました [7月10日]
→　ソニーがAndroid端末「XPERIA X10」を発表、日本でも発売予定 [11月4日]

第4位:
mixiアプリがリリース、ソーシャルアプリが大人気、モバイル版が特に盛況

今年の後半はmixiアプリが大人気でしたね。私も仕事でずっと作っていました。
2010年はモバゲーの方も盛り上がってきそうです。

関連エントリー
→　mixiアプリモバイルがオープン、課金の詳細も判明 [10月27日]
→　「モバゲーオープンプラットフォーム Forum2009」の資料が公開されています [10月7日]

第5位:
各社のメールアドレスがようやくRFC準拠に

こちらも開発者以外は興味がないでしょうね。
ようやくといった感じですが、ドコモのメールアドレスがようやくRFC準拠となり、それにauも追随しました。
とはいっても既存のメールアドレスは変更されないので、数年先まで効果はでないんですけどね。。。

関連エントリー
→　ドコモがメールアドレスの仕様を変更 RFC準拠に [4月3日]
→　auがメールアドレスの仕様を変更、ようやくRFC準拠となったようです [9月25日]

6位以降はさらっと行きます。

第6位:
iPhone3GSが発売、iPhone OS 3.0もリリース
→　iPhone OS 3.0がリリースされたので早速試してみました [6月18日]
→　iPhone 3GSが発売されたので早速触ってみました [6月26日]

第7位:
Twitterが大人気、公式モバイル版も登場
→　Twitterが正式に国内ケータイ端末に対応、Willcomでは公式コンテンツにまでなったようです [10月15日]

第8位:
Google Analyticsがケータイに対応
→　Google Analytics携帯版の導入方法まとめ [11月30日]

第9位:
ケータイ端末メーカーの統廃合が相次ぐ
→　NEC携帯部門とカシオ日立が事業統合し「NECカシオ モバイルコミュニケーションズ」となるそうです [9月14日]

第10位:
ウィルコムが経営危機
→　ウィルコムが経営危機、事業再生ADRの申請・1000億円返済延期の要請へ [9月18日]

なお、ケータイニュースサイトでも同様の企画が行われているようです。
私が選んだ内容とは結構異なっていますね。
一般目線だとこんなものなんでしょうか、面白いですね。

→　ケータイ Watch　読者が選ぶ2009年ケータイ10大ニュース 【結果発表】 [k-tai.impress.co.jp]

→　ITmedia +D Mobile　ITmediaスタッフが選ぶ、2009年の“注目ケータイ＆トピック”（編集部園部編） [plusd.itmedia.co.jp]

→　ITmedia +D Mobile　ITmediaスタッフが選ぶ、2009年の“注目ケータイ＆トピック”（ライター松村編） [plusd.itmedia.co.jp]

こうして見返してみると今年も色々なことがありましたね。
来年はどんな1年になるのでしょうか。

関連：

• 2009年11月の人気エントリーまとめ
• 2009年10月の人気エントリーまとめ
• 2009年9月の人気エントリーまとめ

Google公式ブログによると、Googleモバイル検索のインデックスを行うシステムに変更があったようです。

→　Google Japan Blog　モバイル検索のインデックス改良のお知らせ [googlejapan.blogspot.com]

上記ブログによると

Google では、モバイル検索用のインデキシングシステムの改良を行いました。今回の改良により、インデックスのサイズが大幅に増加され、新たにより多くのモバイルサイトがインデックスされるようになりました。

とのことです。

これによって、ランクの順位が変更になったかと思われます。

サイトを運営されている場合、SEOにはかなり気を使われているという方も多いと思います。

一度ケータイから検索してチェックしてみてはいかがでしょうか。

関連：

• モバイル向け検索エンジン・クローラに関する連載コラム「モバイルSEOベストプラクティス」
• ケータイでGoogle Static Map APIを使ってGoogleマップを表示する際のTIPS
• iMenuの検索結果アルゴリズムの変更について

今週はニュースが多かったので、少し遅れてしまいましたが、こちらの記事のご紹介です。

→　ITmedia +D Mobile　ソフトバンクモバイル、2010年3月31日に2Gサービスを終了

ソフトバンクモバイルは11月24日、2010年3月31日午前2時に第2世代（2G）携帯電話サービスを終了すると発表したとのことです。

以前からも終了予定時期は発表されていましたが、どうやらこれで確定のようですね。

2Gサービスに該当する機種は、ソフトバンク・ボーダフォンの3GC以前の端末で、J-Phone時代の端末は全てが対象、Vodafone時代の端末も一部を除いてその多くが対象になります。

※ユーザエージェントが「J-PHONE」で始まる機種が対象です。

現時点でも利用者はほとんどいないと思われますが、開発側としてはコンテンツの内容によっては全端末でのテストを強いられるケースがあるため悩みの種でした。
これでずいぶん楽になりますね。

なお、auはHDML機向けのサービスを2008年3月31日に既に終了済み。
ドコモのムーバは2012年3月31日までサービスを継続する予定とのことです。

関連：

• ドコモのmova、ついに終了時期が決定
• ツーカーのサービスが2008年3月31日でついに終了へ
• ドコモ、movaの撤退時期は？

フォーラムに複数の方からタレコミをいただきました。
（情報提供ありがとうございます）

ドコモのiモードブラウザ2.0に搭載されているJavaScript機能と、かんたん認証を組み合わせた不正アクセスの方法について話題になっているようなので、ご紹介させていただきます。

まず時系列的にはこちらのエントリーが発端となっているようです。

→　mpw.jp管理人のBlog　iモード専用サイトのhtmlソースの閲覧方法 [mpw.jp]

JavaScriptとDNSの書き換えを使って、IPアドレス制限がかけられたサイトからhtmlソースを抜き出す方法がまとめられています。

こちらの情報をベースに、HASHコンサルティングの徳丸浩さんが報告書の形にまとめたものがこちらです。

→　HASHコンサルティング　セキュリティ情報　iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 [hash-c.co.jp]

各種ニュースサイトでも取り上げられています。

→　CNET Japan　iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される [japan.cnet.com]

実際の不正アクセス手法は、上記HASHコンサルティングさんのサイト上で図解入りで説明されていますので、そちらを参照されるのがわかりやすいと思います。

通常JavaScriptのXMLHttpRequestは、他ドメインと通信できないようになっていますが、DNS Rebindingを使ってそれを抜けている形のようですね。

コンテンツ開発側としてまず気になるのは対策方法ですが、上記のサイトでは次のような回避方法が記載されています。

• iモードIDをかんたんログインおよびセッション管理に使用しない
• HTTPリクエストヘッダのHOSTフィールドの正当性をチェックする

DNSの書き換えを利用した不正アクセスですので、ホスト名のチェックで対策できるようです。

他にも「VirtualHostを利用し、デフォルトのドメイン領域にはコンテンツを置かない」という方法でも回避できるようです。

また下記のサイトではmod_rewriteを使った対策方法が提案されています。

→　 ぱらめでぃうす　【対策編】iモード専用サイトのhtmlソースの閲覧方法 [parame.mwj.jp]

本件については、あの高木先生も「建設予定地」として準備しており、近いうちに何らかの記事にまとめてきそうな感じになっています。

→　高木浩光＠自宅の日記　ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ [takagi-hiromitsu.jp]

かんたんログイン機能をご利用のサイトを運営中の方は、まずご自身のサイトをチェックしてみてください。

関連：

• ＠ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」
• 不具合により停止されていたドコモのJavaScript機能が復活するようです
• JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」