【物流】ヤマト運輸で個人情報漏れ--iPhoneで閲覧可能に [10/25]

このエントリーをはてなブックマークに追加
1ライトスタッフ◎φ ★
ヤマト運輸の携帯サイトで、米アップル製の多機能携帯電話「iPhone」から
接続すると、他の会員の個人情報を閲覧できる状態になっていたことが25日、
分かった。ヤマト運輸はサービスの一部を停止し、対応を急いでいる。

問題があったのは「携帯版クロネコメンバーズのWebサービス」で、氏名、住所、
電話番号、メールアドレスなどが閲覧可能になっていた。集配や再配送を依頼できる
サービスで、登録者数は9月末時点で約560万人。

本来、スマートフォンからはアクセスできないが、「エスブラウザ」というソフト
(アプリ)を使うと接続が可能になる。ヤマト運輸のサイトは、携帯電話の識別番号
だけで本人確認をしており、このソフトが複数の利用者に同じ識別番号を付与していた
ため、他人の情報を閲覧できるケースが発生した。

同社によると、10月中旬に利用者から指摘を受け調査を開始。少なくとも首都圏の
女性客1人が情報を見られていたことを確認したという。

◎ヤマトホールディングス (9064)
http://www.yamato-hd.co.jp/

◎ソース
http://www.kobe-np.co.jp/knews/0003557356.shtml
2名刺は切らしておりまして:2010/10/25(月) 12:37:16 ID:Bhq7AQNn
これがiPhoneの存在意義であり価値だから当然見れる
3名刺は切らしておりまして:2010/10/25(月) 12:38:26 ID:LBEDhl63
これヤマトは悪くないな。悪いのはアプリの作者だな。
4名刺は切らしておりまして:2010/10/25(月) 12:38:32 ID:RP07Ehzz
バカめ、と言ってやれ。
5名刺は切らしておりまして:2010/10/25(月) 12:42:33 ID:GwGzeLhn
俺も登録してるけどべつに見られてもかまわない
6名刺は切らしておりまして:2010/10/25(月) 12:42:35 ID:K35qH20Z
iPhone使ってるやつって流行に流されやすいやつなんだろうな
7名刺は切らしておりまして:2010/10/25(月) 12:47:03 ID:vCB2nrhN
登録者数は9月末時点で約560万人。

図書券500円でゆるしたる

5600000×500=倒産!!!!!!!!!!!!!!!!!!!!!!
8名刺は切らしておりまして:2010/10/25(月) 12:49:07 ID:ydiDUgiC
は!?
9名刺は切らしておりまして:2010/10/25(月) 12:49:14 ID:Sd7iqtXA
同じ内容で、ニュー速+やビジネスに複数のスレを同時に立ててくるのは
よほどiPhoneやソフトバンクを叩きたくてしょうがない勢力がいるに違いない
10名刺は切らしておりまして:2010/10/25(月) 12:50:36 ID:RP07Ehzz
バカめ だ。
11名刺は切らしておりまして:2010/10/25(月) 12:55:32 ID:Lj7SKY+A
個人情報に過敏になり過ぎ
12名刺は切らしておりまして:2010/10/25(月) 12:59:28 ID:3yKbYJFu
>>11
>氏名、住所、電話番号、メールアドレスなどが閲覧可能になっていた。

じゃ、お前はここに全部晒せよ
13名刺は切らしておりまして:2010/10/25(月) 13:29:55 ID:rvJEmyqJ
クロネコヤマトだけの問題じゃなくて
iPhoneのエスブラウザ使って、携帯固有番号認証した場合、すべて同じなんだろ?
14名刺は切らしておりまして:2010/10/25(月) 13:35:41 ID:Sd7iqtXA
「iPhoneのブラウザ」なんてもんじゃなくて
パソコンでもなんでも、ユーザーエージェントの項目を設定するだけで
同じ問題が起きるから
「iPhoneが悪いだけ」というのは、甘い
15名刺は切らしておりまして:2010/10/25(月) 13:46:34 ID:Se3OO2p9
>>14
その辺が良くわからんのだよね。
ケータイアプリの場合は接続元でもフィルタする場合が
多いのだけどやってなかったのかな?
それともiPhoneが3G接続時にソフトバンクサーバ経由だから
パスした?
場合によっては他のケータイサービスにも影響するから
詳細情報が欲しい
16名刺は切らしておりまして:2010/10/25(月) 13:53:00 ID:Sd7iqtXA
>>15
口で説明するのは、わかりにくい。
 
パソコンのFireFoxというブラウザに
FireMobileSimulatorというアドオンを入れて
「携帯サイト」と呼ばれるところにアクセスしてみれば体験できる。
 
パソコンでは「携帯からアクセスしてください」と表示されるだけのサイトでも
これを使うだけで、ケータイと同じように使えるようになる。
 
もうね、ヤマトだけじゃなくて日本中のケータイサイトが抱える
爆弾なんだよ。
 
知っている人はいままで黙っていたんだけど、これを表に出しちゃ駄目だ
17名刺は切らしておりまして:2010/10/25(月) 14:29:07 ID:dAspnhn6
>>15
高木浩光さんのブログが参考になるかも
18名刺は切らしておりまして:2010/10/25(月) 14:42:40 ID:1Ui2QvYO
>>10
ヤマトの社長は裏ニュース読んでんのかよw
19名刺は切らしておりまして:2010/10/25(月) 14:47:26 ID:pLRwptRa
>16
なんですぐばれるウソつくん?
20名刺は切らしておりまして:2010/10/25(月) 15:36:34 ID:Se3OO2p9
>>17
読もうと思ったら503で繋がらなかったw
大体この話の基本知識はあるので問題はないと思う。
携帯アプリの端末ID認証は下の2つをキーにして行う。
1) 接続元がキャリアのIP
2) 端末IDが一致

気にしてるのは今回のサイトが1をやっていたのかどうか。
例えばソフトバンクの場合はY!ケータイの場合は必ず
以下のサイトからのアクセスとなるはずだけれどこれを適切に
チェックしていたか。
http://creation.mb.softbank.jp/web/web_ip.html
やった上でこの現象が起きているならSBはもう端末ID認証は
使えなくなる。
ヤマト運輸がこのチェックしてないだけなら単なるヘボだから
どうということはない。
21名刺は切らしておりまして:2010/10/25(月) 15:52:40 ID:Sd7iqtXA
今回のSBbrowserは単にUserAgentを変換するだけだから
(2)の問題だけ。
22名刺は切らしておりまして:2010/10/25(月) 16:41:44 ID:XcZA69k1
>>15
禿のサーバーでもフィーチャーフォンとiPhoneはサーバーが違うから、ヤマトはアクセス元規制はかけてなかったんじゃないかな。
panda-world
23名刺は切らしておりまして:2010/10/25(月) 21:05:09 ID:oqqMGymw
>>21
開発会社は損害賠償もんだな
24名刺は切らしておりまして:2010/10/26(火) 01:15:11 ID:LGXgsX5Q
>>23
はぁ? httpで何送ろうが問題ないヨ。盗んだIDとパスワードじゃあるまいし。
25名刺は切らしておりまして:2010/10/26(火) 12:57:14 ID:YEwPACsU
そもそも認証にIPアドレスを使うこと自体おかしい
26名刺は切らしておりまして:2010/10/26(火) 13:30:08 ID:JZSYdJbj
>>25
え?
27名刺は切らしておりまして:2010/10/26(火) 13:40:23 ID:YEwPACsU
>>26
ふつうはIDとパスワードで認証するけど、かんたんログインは携帯電話のID(他人が知ることができる)
と携帯電話が使うであろうIPアドレスの二つで認証する。
>>20
>本情報はあくまでも目安としてご参照ください。
>本IPアドレス帯域以外からソフトバンク携帯電話のアクセスがない事を保証するものではありません。
28名刺は切らしておりまして:2010/10/26(火) 13:48:49 ID:eD3rfS7b
>>24
SBbrowserの開発元じゃないよ。
容易に成りすましを許すシステムを開発した
ヤマトのシステム構築会社が損害賠償もの

>>27
それはセンタIP以外からもSB携帯がアクセスする話であって
センタIPからSB携帯以外が来る話ではないので、認証の
情報としてセンタIPによる制限は使える。
これが崩れたというのなら大変だけど。
29名刺は切らしておりまして:2010/10/26(火) 13:53:12 ID:9trTrhR1
崩れてますけどね
30名刺は切らしておりまして:2010/10/26(火) 13:53:22 ID:1dZvbdxJ
>>16
>>20
ヤマトの携帯サイトにPCから入れる穴があった。SBの携帯プロキシは関わってない。
今回の通信は携帯のGWではなくインターネットから行われた。
31名刺は切らしておりまして:2010/10/26(火) 13:53:45 ID:M5lVSly2
>>16
>>20
ヤマトの携帯サイトにPCから入れる穴があった。SBの携帯プロキシは関わってない。
今回の通信は携帯のGWではなくインターネットから行われた。
32名刺は切らしておりまして:2010/10/26(火) 13:55:07 ID:JZSYdJbj
>>27
中途半端乙です
33名刺は切らしておりまして:2010/10/26(火) 13:57:32 ID:YEwPACsU
しかもIPアドレス+携帯電話のID認証だと、経路の途中で改ざんを防ぐSSLが使えない。
正しいIPアドレスからの通信でも、ヘッダが暗号化されるので、携帯電話のIDが正しいかどうか携帯電話会社がチェックできないから。
34名刺は切らしておりまして:2010/10/26(火) 14:02:58 ID:YEwPACsU
>>28
ソフトバンクモバイル自体が「本情報はあくまでも目安としてご参照ください」
って言ってるものを認証に使うのはどうかというはなし
35名刺は切らしておりまして:2010/10/26(火) 14:04:02 ID:9trTrhR1
SIMカードを抜き差しして、ケータイを使い分ける時代に
SIMではなく、携帯本体の番号を認証に使うのが間違い。
 
機種変更するかもしれないしオークションで売ったり
友達にあげたりすることもあるので
「機種固有ID」は個人認証には使えない
36名刺は切らしておりまして:2010/10/26(火) 14:05:37 ID:9trTrhR1
SIMがなかった「2G」のころの仕組みを
変えることが出来ないから
このガラパゴス
37名刺は切らしておりまして:2010/10/26(火) 14:09:57 ID:YEwPACsU
>>35
そもそもすべてのサイトにIDを送信してるのでサイト管理者に知られる番号
http://www.nttdocomo.co.jp/info/notice/page/080228_00.html
>iモード上で閲覧可能な全てのサイトへの提供を可能
38名刺は切らしておりまして:2010/10/26(火) 14:13:07 ID:YEwPACsU
>>36
Cookieを使えば解決する
39名刺は切らしておりまして:2010/10/27(水) 14:15:43 ID:Ryvks+W9
これさ、ヤマトが対策したとしても、偽装ブラウザのアプリが存在する限り
ほかのサイトで似たような事故が発生する可能性が残ってるんだよね。

ちなみに、どうしてIPアドレスで接続元を制限していなかったのか?って
言ってる人いるけど、サーチエンジン対策なんだよ。
検索エンジンのクローラが、UAを偽装してアクセスしてくるから
そいつを弾いてしまうと検索しても引っかからなくなってしまう。

高木センセイは、この辺の事情を知らんのかもしれない。

>>35
いつの時代の話してるの?いまはSIMカード単位だよ。
40名刺は切らしておりまして:2010/10/27(水) 14:45:03 ID:gYoUag+Z
SoftBank/1.0/840SH/SHJ001/SN35930359035903590 Browser/NetFront/3.5Profile/MIDP-2.0Configuration/CLDC-1.1
のSN35930359035903590で、簡単ログインしてんじゃないの?
41名刺は切らしておりまして:2010/10/27(水) 14:46:38 ID:d/+hUvEw
IPアドレス制限しなかったらなりすましし放題だよね
42名刺は切らしておりまして:2010/10/27(水) 15:03:24 ID:gYoUag+Z
現状は「IPアドレス制限したってなりすましし放題」
 
もう2Gのころの遺産であるガラケー方式の簡単ログインは崩壊しているのに
事実から目をそらし続けては駄目って
高木さんは前から言ってる
43名刺は切らしておりまして:2010/10/27(水) 15:11:07 ID:gYoUag+Z
IDを垂れ流しクッキーが設定できない古いガラケーの機種が混在しているから
「新しい認証方式」にも変えられない。
長い鎖国の間に日本独自の変な世界を作り上げてしまったので身動き取れない状態だ。
 
どうして最初から世界共通を念頭に置かなかったのだろう
44名刺は切らしておりまして:2010/10/27(水) 16:36:42 ID:d/+hUvEw
しなかったらというか、事実上できない
45名刺は切らしておりまして:2010/10/27(水) 16:40:38 ID:ZF429qkZ
そもそも携帯電話の端末番号で認証というシステムがおかしい。
46名刺は切らしておりまして:2010/10/27(水) 16:44:35 ID:fIkRw3tb
>>43
そもそも存在しなかったし、念頭におきようがない。
47名刺は切らしておりまして:2010/10/27(水) 16:48:31 ID:d/+hUvEw
いわゆる公式サイトと携帯電話の通信って普通のインターネット?
48名刺は切らしておりまして:2010/10/27(水) 16:50:17 ID:Jn/IVipx
ICTソリューションであなたのビジネスをサポート|ヤマトシステム開発
http://www.nekonet.co.jp/index.html

採用情報
http://www.nekonet.co.jp/HR/career/index.htm
49名刺は切らしておりまして:2010/10/27(水) 16:58:26 ID:gYoUag+Z
>>47
公式サイトはインターネットとは隔離されている(普通のパソコンからアクセスできない)
今回のヤマトのサイトはインターネットにあって、携帯からもパソコンからもアクセス可能だった
「携帯からのアクセスと偽るパソコン」にだまされた
50名刺は切らしておりまして:2010/10/27(水) 17:17:04 ID:gYoUag+Z
インターネットに置かれたサーバーでは、携帯からのアクセスでも
簡単なパスワードを入力させるなどの認証をしないと危険
IPアドレスは携帯で共用だから、携帯からかどうか(*)はわかっても
個々の端末は区別できない。
(*)携帯からかどうかも、ソフトバンクの場合は怪しい
51名刺は切らしておりまして:2010/10/27(水) 17:36:00 ID:d/+hUvEw
>>50
端末、契約者番号は携帯電話会社が正しいものに書き換えることになってる
携帯のIPアドレスかどうかは各社は、あくまでも参考にとどめてください
といってるから確実な判断が無理
52名刺は切らしておりまして:2010/10/27(水) 22:46:55 ID:8EiqLlp0
>>50
>簡単なパスワードを入力させるなどの認証をしないと危険

じゃあGoogleとかAmazonとかも危険ですね。知ったかすんな。
53名刺は切らしておりまして:2010/10/28(木) 11:06:17 ID:6W6cJBrn
>>43
存在してますよ
54名刺は切らしておりまして:2010/10/28(木) 11:18:12 ID:Gz9jcdeI
「ヤマトが悪い」「iPhoneが嫌い」「ソフトバンクは糞」というニュースではなく
日本の携帯の認証システムは危険というのが
この記事の意味だし、高木さんが前から主張していること
55名刺は切らしておりまして:2010/10/28(木) 11:29:06 ID:6W6cJBrn
当初は携帯の「なんちゃってブラウザ」が
ここまで活用されると思わなかったんだろうな
56名刺は切らしておりまして:2010/10/28(木) 17:14:55 ID:p/8dxdkz
こんなこともあろうかと
57名刺は切らしておりまして:2010/10/30(土) 17:46:35 ID:CRNuXnUS
警視庁公安部の内部情報がネットへ流出 国際テロ情報など
http://hato.2ch.net/test/read.cgi/news/1288427574/
58名刺は切らしておりまして:2010/11/01(月) 17:07:39 ID:Dn9JtvAj
ヤマト運輸よりクロネコメンバーズの皆様へお詫び

※このメールは、重要なお知らせのためすべてのクロネコメンバーズの皆様へ配信しています。
59名刺は切らしておりまして:2010/11/04(木) 10:15:47 ID:W0XZiiQF
ヤマトからお詫びのメールが届いた。

ヤマトの対応が良かった分、この前の三菱電機の対応が余計クソに見える。
三菱電機は潰れていいよ。
60名刺は切らしておりまして:2010/11/04(木) 11:27:31 ID:LYaKSAV3
お詫びメール来たね。
でも、事実確認時点で一度メールすべきだった気もする。
61名刺は切らしておりまして
>>54
基本的にザルだからな