一般的に、モバイル用ブラウザはPC用ブラウザと比較して備えている機能に大きな差がある。このため、サイトを作成する際には、「モバイル用ブラウザがアクセスするサイト」(=「モバイルサイト」)、「PC用ブラウザがアクセスするサイト」(=「PCサイト」)として、別々のサイトを作成することが多い。しかし、最近、この「備えている機能の大きな差」が徐々に小さくなってきている。例えば、NTTドコモの2009年夏モデルには、JavaScriptやCookie、Referer機能に対応したiモードブラウザが搭載されている。これは従来のiモードブラウザの機能を大きく拡張してPC用ブラウザに近づけた更新といえる。また、PC用ブラウザと変わらないブラウザを搭載するスマートフォンも多く利用されてきている。モバイル用ブラウザの高機能化は今後のモバイルサイト作成に大きな影響を与えると考えられる。では、モバイルサイトのセキュリティに対しては、どのような変化をもたらすのだろうか?
モバイルサイトもPCサイトと基本的なサイトの作りは同じである。従って、PCサイトと同様の脆弱性が存在しうる。加えて、モバイルサイト特有の問題も存在する。例えば、下記のような問題である。
- 過去の機種ではCookieが利用できないため、URLにセッションIDを付加してセッション管理を行う
⇒ この構成のサイトをReferer送出に対応した機種でアクセスした場合、URLにセッションIDが付加された状態で他サイトへアクセスすることより、外部にセッションIDが漏えいし、なりすましにつながる可能性がある。 - 利用者の利便性向上のため、モバイル端末IDでログイン処理を行う『かんたんログイン』が存在する
⇒ アクセス元IPアドレスの制限などを行っていない場合、なりすましにつながる可能性がある。
近年、日常的に様々なサイトで情報漏えいやサイト改ざんなどのセキュリティ事故が発生しているが、モバイルサイトがセキュリティ事故を起こしたケースは少ないと感じる方も多いのではないだろうか。弊社診断実績より、モバイルサイトとPCサイトの診断結果を比較すると、モバイルサイトとPCサイトの評価(≒脆弱性の検出率)にあまり差はない。
モバイルサイトにもPCサイトと同様に脆弱性が存在するにも関わらず、セキュリティ事故の件数が少なく感じるのは、PCサイトと比較しモバイルサイトの数が少ない、という理由もあるだろうが、他にも次のような理由があると考えられる。
- モバイルサイトでは、モバイル端末以外からアクセスできないようにIPアドレスを制限している場合が多い。このため、PCで動作する攻撃ツールからの攻撃やボットからの攻撃を受けにくい。
- モバイル用ブラウザがJavaScript等の機能に対応していなかったため、サイトにアクセスしてきた利用者を狙うタイプの攻撃が有効に働きにくい。
つまり、サイトそのものは脆弱だが、モバイルという環境の特性によって、脆弱性が顕在化せず眠っている状態になっているモバイルサイトが多いのではないだろうか。
2009年11月には、モバイル端末以外からアクセスできないようにIPアドレス制限を行っているサイトでも、iモードIDを用いた「かんたんログイン」を突破しうる脆弱性(DNS Rebinding脆弱性)の存在も公となった。また、今後、更なる高性能ブラウザが搭載されたモバイル端末が開発されることによって、より簡単にモバイルサイトへの攻撃が可能となること、モバイル用ブラウザを狙う攻撃が増えること、などが考えられる。先に述べた、眠っている脆弱性が顕在化してくるのではないだろうか。
サイト管理者・開発者の方々には、『モバイル端末の環境の変化によって、モバイルサイトの危険性が変化する可能性がある』ということをご考慮いただき、モバイルサイトについても、PCサイトと同様、しっかりとセキュリティ対策を実施していただければと思う。
サイトガイド
セキュリティ情報
教育・資格取得
サービス&製品
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
セキュリティキーワード2009
遠藤裕樹(えんどうひろき)
プロフィール
サイバーセキュリティサービス事業部 ペンテスト技術部
主に脆弱性検査業務に従事。Webアプリケーションセキュリティ検査、報告会等などの業務に携わる。
