対談記事：携帯サイトからの情報漏えいを防ぐ　〜サイバードと京セラコミュニケーションシステム、共同で新規サービスを展開〜

　ウェブサイトに潜む脆弱性と聞いて何を思い浮かべるだろうか。近年特にその危険性が指摘されているのが、クロスサイトスクリプティングに代表される、Webアプリケーションの脆弱性を突いた攻撃である。これらの手法は残念なことに、PC向けサイトにおいては一般的に定着している。実は広くは知られていないが、この手法は今までセキュリティ問題が話題に上ることのなかった携帯サイトに対しても、立派に通用してしまうのだ。

　このような状況の中、国内の先陣を切る形で、2005年1月25日に携帯電話情報サービス最大手の株式会社サイバードとセキュリティ事業も手掛ける情報通信インテグレータの京セラコミュニケーションシステム株式会社（以下 KCCS）とが共同で「携帯電話向けWebサイトのセキュリティサービス」の提供を発表した。今回は、本サービス立ち上げのキーマンである株式会社サイバード技術統括部長の落合氏とKCCS ITソリューション事業本部副事業本部長の徳丸氏とに、携帯電話向けWebサイトの脆弱性と、サービス立ち上げの経緯から今後の展開まで、幅広く語っていただいた。

■携帯電話向けWebサイトに潜む脆弱性
――　始めに、携帯電話向けWebサイトの脆弱性についてお話いただけますでしょうか。

徳丸氏　「Webアプリケーションの脆弱性とは、Webサーバ等に内在する脆弱性とは異なり、Webサーバにコンテンツを載せた時点で初めて顕在化します。入力フォームのテキスト欄にURLなどの制御文字を書き込むクロスサイトスクリプティングが有名です。一言でまとめるなら、これは、Webアプリケーションのバグです。」

落合氏　「残念ながら携帯向けWebサーバのアプリケーションでも、同様のバグ、つまり脆弱性は存在しています。また、PC向けWebアプリケーションの脆弱性とは異なる、携帯特有の脆弱性もあります。」

徳丸氏　「PCの場合、ブラウザ上にURLが表示されますから、簡単なフィッシング詐欺などであれば、回避することができますよね。しかし、携帯の場合、画面上にURLすら表示されませんから、PC以上に危険性は高いですね。」

落合氏　「確かにそれは現在の携帯特有の脆弱性の一つで、メーカー側では修正していく方向にあるようです。その他にも、特定の端末のみで悪用できてしまう脆弱性や、携帯キャリアのインフラの仕組みに由来する脆弱性なども存在しています。」

■重要視されるようになってきた携帯電話向けWebアプリケーション脆弱性
――　携帯電話向けWebアプリケーション脆弱性について、以前から認識されていたのでしょうか。

徳丸氏　「KCCSの基幹事業のひとつに、強固なセキュリティを確保したデータセンタサービスがあります。その初期からケータイサイトのホスティングを行っています。その経緯から、携帯電話向けWebアプリケーション脆弱性について、危機感は持ち続けていました。」

落合氏　「サイバードでも、創業期からセキュリティに対する意識はありました。ただ、携帯電話向けWebサイトの構築と安定稼動を最優先に考えてしまい、セキュリティのプライオリティが相対的に高くなかったのも事実です。その背景には、着信メロディなどの課金コンテンツサイトにおいては、仮にWebアプリケーションから情報が流出したとしても、個人情報などの重要情報が含まれていなかったのです。」

徳丸氏　「ところが昨年、重要情報の流出事件が相次いで起こりましたね。あまり報道されていないのですが、某キャンペーンサイトや某メディア系サイトなどで個人情報が流出しました。あぁ、ついに起こったかという印象を持ちました。」

落合氏　「同じ頃、サイバードではプライバシーマークを取得したこともあり、セキュリティに本腰を入れる必要性を本気で感じました。携帯電話Webサイトが社会インフラ化してきた、セキュリティのプライオリティは今後必然的に上がると、直感的に思いましたね。」

■携帯電話向けサイトに潜むWebアプリケーションの現状
――　現在、国内の携帯電話向けサイトには、どれくらいWebアプリケーションの脆弱性が存在するのでしょうか。

落合氏　「正直なところ、割合などの詳細はわかりません。恐らく誰も調べていないはずです。サイバードでは、PC向けサイトに有効なWebアプリケーション攻撃パターンについて、KCCSさんと共同で実際に、かなりの悪意を持った攻撃を可能とするため、専用のテスト環境での試験を行っています。総合的な検証結果として、それらの攻撃の、携帯電話向けサイトに対しての詳細な有効性は把握しています。」

徳丸氏　「KCCSでは、システムの内部製作率は比較的高いのですが、外部に委託することもあります。すると、納品時の検収でセキュリティチェックに引っかかるものが、結構ありますよ。サイバードさんでもそういう事例がないですか？」

落合氏　「具体例はお話できませんが、実際に意識が高まってきているのは事実です。2月3日に行ったセミナーにも多くのお客様に参加いただきました。多くのサイトは未対策なのが実情ではと、肌で感じました。対策を取っている企業もありますが、モバイル専門サイトばかりではなく、PC向けサイトのおまけ程度にモバイルサイトを構築するケースも多く、リスクは高いと思います。」

徳丸氏　「確かに先日のセミナーの関心は高かったです。携帯電話向けサイトのアプリケーション脆弱性を攻撃するデモの反響は特に大きかった。危険性をそれなりに感じているが、明確な対策レベルまで落とし込めていない、これが現場の現状ではないでしょうか。」

落合氏　「ええ、明らかに携帯電話向けサイトのセキュリティ対策は遅れていますね。先ほど話した通り、これまでモバイル市場の牽引役であった課金コンテンツ以外にも、多くのモバイルサイトやモバイルサービスが登場し、携帯は社会インフラとなっています。ですので、モバイル戦略は多くの企業で成長への鍵となるわけです。その中で、携帯電話向けサイトで個人情報を扱う機会は飛躍的に増えるはずですから、携帯電話向けサイトのリスクに対する考え方も、大きく変えていく必要が出てくるでしょう。」

【執筆：小松信治（アイドゥ）】

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec