ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

ニュースです。

警視庁が賭博サイト摘発の事件をうけて、KDDI・ソフトバンクの両キャリアに公式サイト内コンテンツの対策強化を要請したそうです。

→　ケータイWatch　警視庁、賭博サイト摘発でソフトバンクとKDDIに対策強化を要請 [k-tai.impress.co.jp]

今年7月に公式サイトで賭博サイトが見つかった事件がありましたが、その影響のようです。

これにより、今後キャリアによるコンテンツの監視がますます厳しくなりそうな感じです。
実際、事件後にいくつかのサイトが閉鎖されているようです。

登録申請時はそれなりのチェックを受けるので問題ないのですが、長く運用していくとついうっかりガイドラインに反してしまっている部分が出てきてしまうこともあるかと思います。

公式コンテンツをお持ちの方は、もう一度チェックしてみてはいかがでしょうか。

関連：

• 賭博じゃんけんサイト事件の詳細がニュース記事になっています
• 「懸賞じゃんけんぽん」という公式ケータイサイトを運用していた会社が賭博容疑で逮捕されたようです
• 豊富な画像とサンプルコード付きでiPhoneアプリ開発の解説をしているブログ記事「iPhoneアプリを作ってみよう」

いよいよ明日6月15日（火）に予約受付開始となるアップルの「iPhone 4」ですが、ようやく価格とプランが発表になりました。

本体価格は16GBモデルが4万6080円、32GBモデルが5万7600円となったようです。

→　ソフトバンク　iPhone 4 料金プラン [mb.softbank.jp]

→　GIGAZINE　「iPhone 4」、16GBモデルは4万6080円、32GBモデルは5万7600円に [gigazine.net]

→　ITmedia +D Mobile　「iPhone 4」の価格は16Gバイト実質0円、32Gバイト実質1万1520円から [plusd.itmedia.co.jp]

月々に支払う額ですが、パケット定額で上限まで通信を行ったことを前提として考えると、端末代金分割で16GBが月5705円、32GBが月6185円。
端末代金一括で買った場合は月3785円とのことです。
（参考にした情報はこちら）

この金額だけを見ると、他のケータイと比べても結構割安な感じがしますね。

予約は明日の6月15日の午後5時から、iPhone取扱店（ソフトバンクショップや家電量販店）と、ソフトバンクオンラインショップにて受付開始とのことです。

関連：

• ソフトバンクが「iPhone 4」を6月24日に発売するようです
• iPhone サイトのデザインがまとめられた「iPhoneデザインアーカイブ」がオープンしたとのことです
• 本日発売のiPadをさっそく買ってきました

近頃話題だったSIMロックを巡る話題について、ある程度の結論が出たようです。

結局のところSIMロック解除は来年2011年4月から、携帯電話各者の自主的な判断で導入を行う、という形に落ち着いたようです。

→　INTERNET Watch　SIMロック解除は「事業者による主体的取り組み」で、総務省がガイドライン案 [internet.watch.impress.co.jp]

→　ITmedia News　SIMロック解除は来年4月から、自主判断で　総務省ガイドライン原案 [www.itmedia.co.jp]

総務省としては、「少しでもSIMロックを解除した携帯電話が増えることを期待する」とコメントしているとのことで、なんだかずいぶん骨抜きな結論になったように思えますね。

なお、この決定をするにあたり、参考にしたと思われるヒアリング資料はこちらのページに公開されていました。

→　総務省　携帯電話端末のSIMロックの在り方に関する公開ヒアリング配布資料 [www.soumu.go.jp]

各社のスタンスなどが垣間見え、少し面白い資料ですので、興味のある方は見てみてはいかがでしょうか。

関連：

• SIMロックの是非を討論する「SIM LOCK in Japan2」が4月16日21時からニコ生およびUstで中継されるとのことです
• SIMロックを巡る最近のケータイ事情について
• 総務省が SIMロック解除を検討しているとのことです

昨日に続いて、Yahoo!ケータイのかんたんログインで成りすましを許してしまう問題についてです。

この問題を発表した徳丸さんからコメント欄に投稿をいただきまして、講演資料も公開しているとの情報をいただきました。

こちらの資料がわかりやすく、内容もかなり深く興味深いものでしたので、ぜひご紹介したいと思います。

→　HASHコンサルティング　WAS Forum Conference 2010講演資料　ケータイ2.0が開けてしまったパンドラの箱 [hash-c.co.jp]

大きな画面で読むには、アップ先のこちらのサイトから直接読むのが良いでしょう。
（フル画面表示もできます）

→　slideshare　WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱 [slideshare.net]

全60ページもありますが、内容もストーリーがありドラマティック（？）で、かなり読み応えのあるものとなっています。

昨日の記事に書いたsetRequestHeaderメソッドでUserAgentの書き換えについても資料内に答えがあり、End-to-EndのSSLの場合のみ可能で、それ以外の場合は不可能なようです。
SSL以外ではひとまず機種判定で防ぐという対策はできるようですね。

ソフトバンクの端末はかなりわけのわからない状況になっている中、よくここまでの情報を調べまとめあげたと思います。本当にお疲れ様でした。

ケータイWeb開発に関わる方であれば、必ず目を通しておいた方がよい資料だと思います。

関連：

• Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」
• iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について

以前、ドコモのiモードブラウザ2.0のJavaScript機能とDNSリバインディングとを組み合わせて、かんたんログイン認証で成りすましを行うという脆弱性を発表したHASHコンサルティング株式会社ですが、今回またソフトバンクの一部端末でも同様の問題が起きるという情報を公開したようです。

→　HASHコンサルティング株式会社　Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 [hash-c.co.jp]

影響がある機種は2006年冬モデル以降となっているのですが、その多くはサーバやアプリでHostフィールドをチェックすることで対策が可能です。

これらの端末の場合は、ドコモのiモードブラウザ2.0と同じ脆弱性ですので、既に多くの方が対応済みかと思います。

参考：
→　ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 [ke-tai.org]

しかしながら、「2008年春モデル以降のシャープ製端末の大半」および「820N」「821N」「830CA」「940SC」（※現在のところ判明している機種であることに注意）に関しては、現状アプリ側での対策ができないようです。
（setRequestHeaderメソッドでHostフィールドを上書き可能なため）

取り急ぎアプリ側で取れる苦しい対応としては、ユーザエージェントで上記端末を判定して、非対応機種として弾くことくらいかなと思ったのですが、シャープ端末はシェアが大きいですし難しいでしょう。
またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです。（もしこれができるなら、端末判定も信用できません）

もちろん、即日対応可能な内容ではないでしょうが、かんたんログインから他の認証方法に移るのが確実です。

上記のサイトでは、

・端末シリアル番号またはユーザIDなど端末固有IDをかんたんログインおよびセッション管理に使用しない
・かんたんログインを利用するユーザに「Ajax規制」を「許可しない」に設定するか、あるいは「スクリプト設定」を「off」にしないと、なりすましの危険性があると注意喚起する

を解決策・回避策として挙げています。

発見者の徳丸さんはいつもケータイ関係で重要な脆弱性を発表しておりスゴイですね。

関連：

• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」
• iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について
• 国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」