ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

先日からモバイル界隈をざわつかせていた、ヤマト運輸のかんたんログイン脆弱性問題で気になったので、ドコモのクッキー対応端末（iモードブラウザ2.0）のシェアを調べてみました。

まずヤマト運輸の問題について知らないという方はこちら。

→　ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです [ke-tai.org]

→　ヤマト運輸ケータイサイトに脆弱性があった問題の続報 [ke-tai.org]

今回の問題に対する一番の対策は、端末IDを使った認証（いわゆる「かんたんログイン」）を使わずに、通常のPC向けサイトと同じようにクッキーでログイン情報を管理することです。

ところが困ったことに、au・ソフトバンク端末は事実上ほぼ全ての端末がクッキーに対応しているのに対し、ドコモは2009年の夏モデルから登場した「iモードブラウザ2.0」端末でしか、クッキーに対応していません。

今後機種変などで徐々に入れ替わって行くと思われますが、現時点で対応端末がどれくらいのシェアを取っているのか、正確な情報を知ることが重要と思われますので調べてみました。

参考にしたのはこちらのページです。
2010/10/19の更新ですので、現時点で一般人が知り得る中では、ほぼ最新の統計と言えると思います。

→　Web担当者Forum　モバイルユーザー傾向DATABOX（2010年8月） [web-tan.forum.impressrd.jp]

ひとまずiモードブラウザ対応端末である可能性があるものとして、ドコモ端末の中で「a」と「b」というのを対象とすると、それぞれ「30%」と「21%」ということになります。
つまり51%がiモード2.0対応端末候補です。

しかし、これらの端末の中にもiモードブラウザ2.0端末ではないものも多くあります。

対応・非対応端末の詳細はこちらにあるPDF資料を参考にしてください。

→　NTTドコモ　作ろうiモードコンテンツ：端末スペック一覧 [www.nttdocomo.co.jp]

この資料によるとa,bに該当する78端末中、33端末（42.3%）がiモードブラウザ1.0端末、45端末（57.7%）がiモードブラウザ2.0端末です。
もちろん端末ごとにシェアは異なるので正確ではありませんが、大体のiモードブラウザ2.0対応端末の割合は、

51 * 0.577 = 29.4%

で、ドコモ全体の29.4%と考えられます。
（つまりドコモの中でクッキー非対応端末の割合は70.6%）

ドコモのシェアが56.9%ですので、全体の中での割合を計算すると、、、

70.6 * 0.569 = 40.17%

ということで、全キャリアの中で約60%がクッキー対応端末で、約40%は非対応端末ということになります。
（前述の端末シェアの問題で、完全に正確ではないですが、おおむねこんな感じでしょう）

もちろん40%というこの数字は、今後どんどん減っていくことが予想されますが、とりあえず現状はこんな感じのようです。

関連：

• 現在の端末やFlashLiteバージョンシェア、カテゴリ毎のPV数などがわかる「モバイルユーザー傾向DATABOX」
• ソフトバンクの携帯契約数の累計シェアが20％を超えたとのことです
• ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」

フォーラムからのタレコミです。
（情報提供ありがとうございます）

auが一般ユーザでもJavaで開発でき、通信量制限もない「EZアプリ （J）」を来春にリリースするとのことです。

→　ケータイ Watch　au、Javaアプリプラットフォーム「EZアプリ（J）」発表 [k-tai.impress.co.jp]

→　ITmedia プロフェッショナル モバイル　KDDI、Javaで開発できる「EZアプリ （J）」を来春に追加 [www.itmedia.co.jp]

公式ドキュメントはこちらで公開されています。

→　KDDI au: 技術情報 ＞ EZアプリ (J) [www.au.kddi.com]

HTTP/HTTPS通信が可能とのことで、BREW版EZアプリにあった1日最大6Mバイトまでの制限などはないとのことです。

auは以前にも「EZアプリ (Java)」というサービスを行っていましたが、A5407CA（2004年6月に発売）を最後に対応した端末は発売されておらず、あくまでBREWがメインというスタンスをとっていました。

非常に今更な感じはありますが、auもドコモマーケットのような、アプリ販売プラットフォームを作成しようと考えているのかもしれませんね。

関連：

• ドコモマーケット向けのiアプリ開発支援ツールとドキュメントが公開されています
• iアプリが今年11月にオープン化し、iアプリDXの機能の一部が個人にも開放されるようです
• ドコモのiアプリの新規格「Starプロファイル」の技術資料が公開されています

昨日の記事の続きです。

ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。

→　高木浩光＠自宅の日記　かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp]

本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。

原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。

IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。

もちろん高木先生としては、IPアドレス制限による対策などではなく、かんたんログイン自体を捨て、cookieによるログイン制御を行うように進めています。

関連：

• ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです
• Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」

ニュースです。

ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようで、ケータイ界隈のニュースサイトやブログで話題になっています。

時系列的には、YOMIURI ONLINEが最初に記事を掲載したようです。

→　YOMIURI ONLINE（読売新聞）　ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因 [yomiuri.co.jp]

その後、多くのニュースソースで取り上げられたようです。
内容的にはこちらの記事が的確でわかりやすいと思います。

→　ITmedia News　クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 [itmedia.co.jp]

クロネコヤマト本家サイトの謝罪文はこちらです。

→　ヤマト運輸　携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について [kuronekoyamato.co.jp]

どうも情報をまとめると、端末IDによるかんたんログイン機能を利用していたのに、IPアドレスによる制限をかけていなかった（もしくはiPhoneのIPアドレスは許可していた）というように読めます。
一番上のYOMIURI ONLINEの記事だと、一見iPhoneのアプリ「SBrowser」が悪いようにも読めるので、あまり正確ではないように感じますね。

ヤマト運輸側の対応がすばらしかったとの意見も出ています。

→　[Z]ZAPAブロ～グ2.0　ヤマト運輸の対応が素晴らしかった [zapanet.info]

また、脆弱性を見つけた本人のブログエントリーも公開されています。

→　Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。

twitterやはてぶでは、いろんな情報が流れていますが、憶測の域を出ないものも多いので、このあたりにしておこうと思います。

本件は、最初の通報の時点から高木先生が絡んでいるようなので、おそらく近いうちに日記にまとめてくれることと思います。

また正確な情報が出てきましたら、記事にしたいと思います。

関連：

• マイコミジャーナルにもかんたんログインのセキュリティ問題の記事が掲載されています
• Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」

jQueryをスマートフォンなどのモバイルデバイスへ対応させるためのライブラリ「jQuery Mobile」のAlpha版が、2010年10月16日にリリースされました。

プログラマにもデザイナにも人気のあるjQueryですし、スマートフォン向けサイトの需要が日に日に増している状況ですので、これは期待のプロジェクトだと思います。

そんな「jQuery Mobile」の情報を簡単にですがまとめてみました。

まず本家のサイト。

→　jQuery Mobile　トップ [querymobile.com]

→　jQuery Mobile　Alpha 1 リリース情報 [jquerymobile.com]

→　jQuery Mobile　対応ブラウザ [jquerymobile.com]

jQuery Mobileが何なのか、というのはこちらの日本語の記事がわかりやすいです。

→　マイコミジャーナル　jQueryモバイルプロジェクト登場 [journal.mycom.co.jp]

日本語訳やリファレンス作成をしてくれていたり、感想を掲載しているブログなど。

→　Bstyle = LOlita + Gothic 4th Trial　jQuery Mobile alpha 1 Relase! ＆ リリースノート超訳 [d.hatena.ne.jp]

→　H2O Blog.　jQuery Mobileがアルファリリース。サイトを日本語訳してみた。 [h2o-space.com]

→　へっぽこプログラマーの日記　jQuery Mobile リファレンス的なもの [d.hatena.ne.jp]

→　zudolog　jQuery Mobile Alpha 1　ざっくり見た感想 [zudolab.net]

英語ですが、RSSリーダーを作るチュートリアルとサンプルコード。

→　Nettuts+　How to Build an RSS Reader with jQuery Mobile [net.tutsplus.com]

まだアルファ版ですし、出たばかりですので、もう少しまとまった情報が集まりましたら、また掲載したいと思います。

関連：

• ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」
• FlashをHTML5・JavaScriptに変換して動かすSmokescreenというものがあるそうです
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」