2011年11月24日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 帰ってきた・他のサイトのパスワードを聞き出すことを禁止できないものだろうか[http://www.nantoka.com/~kei/diary/?20100715S1][セキュリティ][公共セキュリティ] このエントリーをはてなブックマークに追加

Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認[http://rdp.blog52.fc2.com/blog-entry-4085.html] の記事によれば、一部の携帯電話販売代理店で、クーポン系アプリをインストールして渡すために、 GoogleアカウントのIDとパスワードを開示することを必須として要求 していたということです。
一部の携帯電話販売代理店において、Androidスマートフォンの契約時、ユーザーにGoogleアカウントのIDおよびパスワードの記入または新規作成のうえの記入を契約必須条件として、代理店側が開通作業の際にユーザーのIDとパスワードでAndroidマーケットにログインし、スマートフォンにアプリケーションをインストールして販売する例があることを確認しました。
契約ユーザーは契約時に別途代理店が用意した 「GoogleアカウントのID」および「同アカウントのパスワード」の記入欄が設けられている用紙への記入を契約必須条件と案内 され、アカウントを所持していない場合は新規アカウントを作成する必要があったとのことです。
パスワードを聞き出す理由は、アプリケーションをインストールしてから渡すための様で、これはつい先日、 iPhone 4Sのホーム画面に勝手にモバゲーが追加される問題、一部店舗で発覚[http://apple.slashdot.jp/story/11/11/22/0839230/] の件と同様、 アプリをインストールすることによって、販売店に何らかのインセンティブが支払われる仕組み があるからではないかと考えられています。
私は、この行為には、公共の安全を阻害しかねない二つの大きな問題があると考えます。

(強制的に)インストールされたアプリの安全性の担保:

携帯端末は、個人が所有するデバイスの中でも、最高のセキュリティが要求されるデバイス ではないかと思います。知人の連絡先、通話履歴、メール履歴などのプライバシー情報が保存されていますし、電子決済などで、お金に結びつく情報が格納されていることもあるでしょう。
スマートフォンでは、 素性の知れないアプリをインストールすると、そのアプリが知らないうちにあなたの個人情報を盗み出したり、居場所を監視したり、盗聴したりということをされる 心配まであります。
そうされないためには、最低限、 自分が知らないアプリは決してインストールさせない ということが必要です。
パソコンを買ってくると、メーカーが工場出荷時に色々とアプリケーションを入れていることがあります。あれと似たようなものではないかと思う人がいるかも知れませんが、工場で決められたものが入っているのと、店頭で知らないアプリがインストールされるのは全く異なります。
工場出荷時に入れられたアプリケーションは、何が入っているのかを確認可能ですし、もしも悪意を持ったアプリケーションが入れられていた場合、これを検証することができますから、発覚しないように悪意を持ったアプリを入れることは難しくなります。
メーカーが出荷する全てのパソコンに、スパイ機能を搭載して出荷するということはあまり考えられない *1 ですね。発覚する可能性は高いですし、メーカーとしてはそんなリスクを冒すメリットがありません。恐らく、工場でアプリがインストールされたまま使っても大丈夫でしょう。
ところが、店頭で個別にアプリをインストールする場合、インストールされたアプリを検証することは難しくなります。
例えば、そのショップがあるいは店員が、 あなただけを狙ってスパイアプリをインストールする 可能性は否定できませんし、あとでそういうアプリがインストールされていたことに気づいても、立証が難しいでしょう。
この様に考えると、 工場出荷時の封印が切られた情報機器を初期化しないで使うことには、そもそも危険が伴う 様に思います。 IT製品の情報セキュリティの評価基準となる コモンクライテリア[http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%A2%E3%83%B3%E3%82%AF%E3%83%A9%E3%82%A4%E3%83%86%E3%83%AA%E3%82%A2] でも、製品が利用者の手元に届くまでの間に、改ざんが行われないように保護することを、セキュリティ保証要件として規定しています。
携帯電話の場合、回線開通のためにショップ側が箱を開けて機器を操作することが普通に行われてきましたが、以前の携帯電話は、悪意のあるアプリをこっそりインストールする様な余地が少なかったから、問題化しなかったのでしょう。
悪意あるアプリをこっそりインストールでき、しかも、その被害が非常に大きいものになっている現在、 利用者が「この端末は工場出荷以降、一切手を加えられていない信用できるもの」なのかどうかを確認できる術が必要になってきている と思います。
この事件によって、キャリアや販売店が信用できないということになれば、「新品」のはずの、買ったばかりの端末でさえ、「信用できるもの」で無くなってしまったのです。

他のサービスのパスワードを聞き出すこと:

他のサイトのパスワードを聞き出すことを禁止できないものだろうか[http://www.nantoka.com/~kei/diary/?20100713S2] で書きましたが、
世の中 全てのサービスで全く関連の無いパスワードを設定している人ばかりでは無い から、Twitterのパスワードだけでなく、そこから検索で紐付くメールのパスワード、メールに保存していた各種通信販売サイト、クレジットカード、オンラインバンキング等のパスワードが芋づる的に知られてしまう人も出てくる恐れがある。
のと同様に、これは、Googleアカウントだけの問題ではありません。
Googleアカウントだけでも、メール以外の様々なサービスに結びついていて、万が一、パスワードを勝手に使われた場合の被害は大変なことになるのですが、他のサービスまで危険にさらすということに、この販売店は思い至っていないのではないでしょうか。
「プロ」である販売店が思い至っていない危険性に、利用者が気づくことはないでしょうし、万が一、分かっていながら危険性を説明せずにパスワードを聞き出しているのであれば、これは犯罪的な行為 だと思います。
大体、 パスワードを訊く、教えるということ自体が、あってはならない、超絶例外異常事態 だということを社会の常識にしないと、パスワードを使った認証や、本人確認という、社会全体を支える基盤が揺らぎますから、その観点でも今回の行為は問題であると思います。
*1: セキュリティホールがあって、結果としてそうなったということは別の話にしておきます。

■ 関連記事

詳細はこの日の詳細から

以上、30 日分です。

指定日の日記を表示

前月 2011年11月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project