オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >

身の周りのおもしろおかしい事を探す日々。ITを中心に。

Yahoo!JAPANの不正アクセス疑惑って無線LANでは?

»

Yahoo!JAPANのID利用者が利用履歴を確認したところ、心当たりのないIPアドレスからログインがあったということが話題になっています。

「登録情報の漏えいやそれらを使った不正アクセスの事実はない」

ヤフーがYahoo! JAPAN IDの漏えいを否定、ユーザーに注意喚起 - ニュース:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20110520/360516/

とヤフーは否定しているとのことです。私個人は過去にYahoo!BBの個人情報流出事件の被害者であり、基本的にYahoo!のIDに重要なものは預けておらず、他のサービスとIDとパスワードを共通させないように注意していたので特に心配することはない状態でした。とはいえログイン履歴を確認してみまして、問題になりそうなIPアドレスもありませんでした。

記憶にないIPアドレスからログインが発生する原因の1つには外部サービスとの連携が考えられます。シンガポールからのアクセスが多く見られているそうですがこれはAmazonのクラウドサービスのアジア拠点であるようです。連携サービスがAmazonのクラウドサービス上に展開されている、と考えれば怖いものではありませんが(oAuthを使っていない生の連携だとしたら別の恐怖がありますが)、先日のPSNの個人情報流出事件ではAmazonのクラウドサービスから攻撃が試みられたという話もありますので気になるところです。

一方で国内のIPアドレスからのログインが発生しているという事象も見られます。私の根拠のない予想ですが、これはオープンになっている無線LANを勝手に掴んでいることが原因ではないかと思います。スマートフォンのブラウザはログインしっぱなしになっていることが多く、外出先でどこぞの無線LANとつながった状態でブラウザの更新がかかればそのIPアドレスから一発でログイン成功になったように見えるかもしれません。

そうであればめでたしめでたしです。

しかし。

悪意をもって開設された無線LANのAPに接続してしまったとしたら、それはやはり非常に危険な状態です。iPhoneやAndroid等、様々な機種がありそれぞれの挙動を確認しているわけではありませんが、例えばiPhoneでは指定したSSIDを発見したら接続しにいくというオプションがあります。Androidにもあります。実験してみたわけではないのですが、例えばマクドナルドの側にいってオープンの「mobilepoint」というAPを開設したら色々な人がログインしてくることはないのでしょうか?

以前より指摘されているとおり(そして現在googleが大変なことになっている通り)認証情報を渡すという肝心なところでHTTPの平文で色々とやり取りしてしまうというスマホ向けアプリもあります。これまでは同じ無線LANのAPにぶら下がる別の人による傍受が危惧されていましたが、偽APからの攻撃は中間者攻撃等のそれよりも強力な攻撃が成立する土台となってしまうことになるでしょう。

(不勉強ながら、いわゆるサイドジャッキングって偽AP開設も含む概念なのでしょうか?)

もし見知らぬIPアドレスが「うっかりオープンなAPにつないでしまったこと」ならば安心ですが、「オープンにされた悪意あるAPにまんまとつないでしまったこと」であれば、それはもはやYahoo!JAPANのID流出というよりは思い当たるIDとパスワードを総取り替えしなくてはならないという大きな問題に発展することでしょう。

経路上で盗聴されたのであればYahoo!JAPANに落ち度はなく、むしろログイン履歴をきちんと提示したことで事件を露見させたというお手柄になるかと思います。

(ただしグループ企業のソフトバンクモバイルの3G回線の品質が低いことが公衆無線LANサービスの利用者増に繋がったのでは?という問題はあるかもしれません。しかもmobilepointはwepによる運用ですし、そのAPを使うリスクについてソフトバンクショップ等でのWiFi利用申し込み時にまったく周知されていません。QAには以下のような記載があり「SSLやVPNをご利用することを『お薦め』します。」となっています。この部分についてはソフトバンクモバイルに改善の余地があると考えます)

ログイン情報(ユーザID、パスワード)のSSLによる暗号化、無線LANユーザ間の直接通信の禁止に対応しています。重要な通信には、SSLやVPNをご利用することをお薦めします。

よくあるご質問:認証/セキュリティ 個人のお客様:BBモバイルポイント|ソフトバンクテレコム 個人のお客様向けサービス|SoftBank http://tm.softbank.jp/wlan/faq3.html

私はたぶん無線LANだろうと思っていますが、「スマホ持ってないし家はNTTで有線LAN接続だけどDIONからのログインがあったよ」という事例が多数見つかったらどうなってしまうんでしょうね。

Comment(0)