2011年11月24日(木) これまでの11月24日 編集

■1 帰ってきた・他のサイトのパスワードを聞き出すことを禁止できないものだろうか[http://www.nantoka.com/~kei/diary/?20100715S1][セキュリティ][公共セキュリティ] このエントリーをはてなブックマークに追加

Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認[http://rdp.blog52.fc2.com/blog-entry-4085.html] の記事によれば、一部の携帯電話販売代理店で、クーポン系アプリをインストールして渡すために、 GoogleアカウントのIDとパスワードを開示することを必須として要求 していたということです。
一部の携帯電話販売代理店において、Androidスマートフォンの契約時、ユーザーにGoogleアカウントのIDおよびパスワードの記入または新規作成のうえの記入を契約必須条件として、代理店側が開通作業の際にユーザーのIDとパスワードでAndroidマーケットにログインし、スマートフォンにアプリケーションをインストールして販売する例があることを確認しました。
契約ユーザーは契約時に別途代理店が用意した 「GoogleアカウントのID」および「同アカウントのパスワード」の記入欄が設けられている用紙への記入を契約必須条件と案内 され、アカウントを所持していない場合は新規アカウントを作成する必要があったとのことです。
パスワードを聞き出す理由は、アプリケーションをインストールしてから渡すための様で、これはつい先日、 iPhone 4Sのホーム画面に勝手にモバゲーが追加される問題、一部店舗で発覚[http://apple.slashdot.jp/story/11/11/22/0839230/] の件と同様、 アプリをインストールすることによって、販売店に何らかのインセンティブが支払われる仕組み があるからではないかと考えられています。
私は、この行為には、公共の安全を阻害しかねない二つの大きな問題があると考えます。

(強制的に)インストールされたアプリの安全性の担保:

携帯端末は、個人が所有するデバイスの中でも、最高のセキュリティが要求されるデバイス ではないかと思います。知人の連絡先、通話履歴、メール履歴などのプライバシー情報が保存されていますし、電子決済などで、お金に結びつく情報が格納されていることもあるでしょう。
スマートフォンでは、 素性の知れないアプリをインストールすると、そのアプリが知らないうちにあなたの個人情報を盗み出したり、居場所を監視したり、盗聴したりということをされる 心配まであります。
そうされないためには、最低限、 自分が知らないアプリは決してインストールさせない ということが必要です。
パソコンを買ってくると、メーカーが工場出荷時に色々とアプリケーションを入れていることがあります。あれと似たようなものではないかと思う人がいるかも知れませんが、工場で決められたものが入っているのと、店頭で知らないアプリがインストールされるのは全く異なります。
工場出荷時に入れられたアプリケーションは、何が入っているのかを確認可能ですし、もしも悪意を持ったアプリケーションが入れられていた場合、これを検証することができますから、発覚しないように悪意を持ったアプリを入れることは難しくなります。
メーカーが出荷する全てのパソコンに、スパイ機能を搭載して出荷するということはあまり考えられない *1 ですね。発覚する可能性は高いですし、メーカーとしてはそんなリスクを冒すメリットがありません。恐らく、工場でアプリがインストールされたまま使っても大丈夫でしょう。
ところが、店頭で個別にアプリをインストールする場合、インストールされたアプリを検証することは難しくなります。
例えば、そのショップがあるいは店員が、 あなただけを狙ってスパイアプリをインストールする 可能性は否定できませんし、あとでそういうアプリがインストールされていたことに気づいても、立証が難しいでしょう。
この様に考えると、 工場出荷時の封印が切られた情報機器を初期化しないで使うことには、そもそも危険が伴う 様に思います。 IT製品の情報セキュリティの評価基準となる コモンクライテリア[http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%A2%E3%83%B3%E3%82%AF%E3%83%A9%E3%82%A4%E3%83%86%E3%83%AA%E3%82%A2] でも、製品が利用者の手元に届くまでの間に、改ざんが行われないように保護することを、セキュリティ保証要件として規定しています。
携帯電話の場合、回線開通のためにショップ側が箱を開けて機器を操作することが普通に行われてきましたが、以前の携帯電話は、悪意のあるアプリをこっそりインストールする様な余地が少なかったから、問題化しなかったのでしょう。
悪意あるアプリをこっそりインストールでき、しかも、その被害が非常に大きいものになっている現在、 利用者が「この端末は工場出荷以降、一切手を加えられていない信用できるもの」なのかどうかを確認できる術が必要になってきている と思います。
この事件によって、キャリアや販売店が信用できないということになれば、「新品」のはずの、買ったばかりの端末でさえ、「信用できるもの」で無くなってしまったのです。

他のサービスのパスワードを聞き出すこと:

他のサイトのパスワードを聞き出すことを禁止できないものだろうか[http://www.nantoka.com/~kei/diary/?20100713S2] で書きましたが、
世の中 全てのサービスで全く関連の無いパスワードを設定している人ばかりでは無い から、Twitterのパスワードだけでなく、そこから検索で紐付くメールのパスワード、メールに保存していた各種通信販売サイト、クレジットカード、オンラインバンキング等のパスワードが芋づる的に知られてしまう人も出てくる恐れがある。
のと同様に、これは、Googleアカウントだけの問題ではありません。
Googleアカウントだけでも、メール以外の様々なサービスに結びついていて、万が一、パスワードを勝手に使われた場合の被害は大変なことになるのですが、他のサービスまで危険にさらすということに、この販売店は思い至っていないのではないでしょうか。
「プロ」である販売店が思い至っていない危険性に、利用者が気づくことはないでしょうし、万が一、分かっていながら危険性を説明せずにパスワードを聞き出しているのであれば、これは犯罪的な行為 だと思います。
大体、 パスワードを訊く、教えるということ自体が、あってはならない、超絶例外異常事態 だということを社会の常識にしないと、パスワードを使った認証や、本人確認という、社会全体を支える基盤が揺らぎますから、その観点でも今回の行為は問題であると思います。
*1: セキュリティホールがあって、結果としてそうなったということは別の話にしておきます。

今日のつぶやき

  • RT @okumuraosaka: 容疑者らは「プログラムは業者に依頼して作った」と供述。不正指令電磁的記録保管容疑(通称・ウイルス作成罪)の可能性もあるとみて 4回クリックで消えない料金請求画面 アダルト動画料金詐取容疑 暴力団幹部逮捕 - MSN産経ニュース htt ...2011-11-24 08:57:50 Tween
  • これがダメなんだったら、「無料です<tiny>一部有料です</tiny>」とか広告して、退会しようとしてもなかなか退会できない、出会い系ゲームサイトなんと作ったりすると、きっとアウトでしょうね… / 4回クリックで消えない料金請求画面 アダルト動画料金詐取容疑 暴力団幹部逮捕2011-11-24 09:00:55 Tween
  • ひょっとすると、それが本丸で、外堀固めてる状況かも。2011-11-24 09:01:25 Tween
  • 3632(グリー)が6%以上下げてるのは、ひょっとして、このニュースからの連想売り? / 4クリック詐欺で男ら逮捕=暴力団資金源に流用か−千葉県警 http://t.co/kWfHIVuB2011-11-24 14:04:54 Tween
  • RT @mryo0826: これ、もはや訴訟レベルじゃないの?>Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認 http://t.co/cgIOE4Xf2011-11-24 14:06:03 Tween
  • やっぱり、他のサービスのパスワードを聞き出すことを法的に制限すべきな気がする。 / 「GoogleアカウントのID」および「同アカウントのパスワード」の記入欄が設けられている用紙への記入を契約必須条件と案内され… http://t.co/JiC5dHQF2011-11-24 14:09:39 Tween
  • 世の中、こんなソリューション提供している会社がきっとあるのねぇ。 / スマートカードへのマルチレーザー照射による故障利用攻撃が可能な装置であって、ターンキーソルーションでの提供が可能なもの http://t.co/3LhKY9BA2011-11-24 15:51:44 Tween
  • 今日の夕景。雲の間から射してくる夕陽がきれい。 http://t.co/1nmULxVB2011-11-24 16:56:29 Twitter for Android
  • 残念。ちょっと、雲が厚い。2011-11-24 17:09:15 Twitter for Android
  • シャッタースピード遅くなってきた。2011-11-24 17:36:50 Twitter for Android
  • 今日は、立山方向を。 http://t.co/rO4QDoJ72011-11-24 17:41:53 Twitter for Android
  • 「聞き流すだけ」で中国語がマスターできるとかいう広告があるのだけど、中国語って聞き流すのに向いてない様な気がする。2011-11-24 20:29:08 Tween
  • 今日は寒かったですが、その分、空気は澄んで夜景はきれいでした。できれば、HDでご覧いただきたいです。 http://t.co/XJuyoPhD2011-11-24 20:47:43 Tween
  • 今日は雰囲気違いましたねー ( #libradio live at http://t.co/7MfxbWtE)2011-11-24 22:48:59 Ustream.TV
  • おつかれさまでしたー ( #libradio live at http://t.co/7MfxbWtE)2011-11-24 22:51:17 Ustream.TV
  • RT @HiromitsuTakagi: 「当該識別符号に係る利用権者の承諾を得てするものを除く」とあるわけだが、単に「GoogleのIDとパスワードを書いてください」とだけ言われて、ただ書いて渡しただけというやりとりで、「承諾を得てするもの」と言えるか。2011-11-24 22:52:55 Tween
  • 携帯をスマートフォンに換えたいのだけど、安全に入手できるかどうか不安になってきたな。販売店でスパイウェア仕込まれそう。2011-11-24 22:54:47 Tween
  • @rem_ti とすると、root取らなきゃダメですね。携帯端末の方はおもちゃだからrootedなんですけれど、ケータイの方をrootedにするのはちょっと勇気が…2011-11-24 22:57:36 Tween rem_ti宛て
  • Googleアカウントのパスワードを聞き出してアプリをインストールする販売店の話に関連して。 / サーバ管理者日誌 帰ってきた・他のサイトのパスワードを聞き出すことを禁止できないものだろうか http://t.co/T4LuhGEh via @keikuma2011-11-24 23:00:45 Tweet Button
  • @rem_ti まぁ。多分そうですね。さすがにそこまでの標的型攻撃は仕掛けられないはず…2011-11-24 23:03:56 Tween rem_ti宛て
  • 【ライフハック】クローズアップ現代は、録画しておいてタイムラインで話題になったら見るとよい。2011-11-24 23:06:25 Tween
  • パスワードは打つものであって、紙に書くものじゃないから、101キーボードが手元に無いと多分書けない。2011-11-24 23:21:03 Tween
  • 「初期設定のため」という説明で聞き出したID,PWで、頼んでもいないアプリをインストールする行為は、不正アクセスになるかどうか。「初期設定の一部だ」って強弁するんだろうなぁ。2011-11-24 23:35:28 Tween
  • RT @yjochi: 白黒歌合戦、というのも、おもしろそうだな。これなら、黒になっても辞退せず、黒組で出られる。灰色をどうするか、という問題はあるが。2011-11-24 23:40:19 Tween
以上、1 日分です。

指定日の日記を表示

前月 2011年11月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30

最近の日記

2017年02月21日

BIGの投票内容(発番)につきまして(2017.02.20)

2016年06月29日

「SEI-Net」不正侵入事件にみる佐賀県教育委員会の杜撰

2015年11月26日

武雄市図書館から“地方自治”を考える!

2015年11月21日

シリーズ武雄市TSUTAYA図書館(34) - 「第3のツタヤ図書館にデキレース疑惑 内部資料を独占入手!」落ち穂拾い

2015年10月30日

シリーズ武雄市TSUTAYA図書館(33) - 海老名市ツタヤ館運営の行方

2015年10月26日

シリーズ武雄市TSUTAYA図書館(32) - 10月26日付 文化通信「TRC、CCCとの関係解消へ」

2015年10月25日

シリーズ武雄市TSUTAYA図書館(31) - 続・検証「9つの市民価値」

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project