【社会】 "個人情報閲覧…怖い！と女性" ヤマト運輸のサイトが悪い？アプリが悪い？ｉＰｈｏｎｅが悪い？…個人情報閲覧問題

・「ｉＰｈｏｎｅ」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”
　してしまった――。アイフォーン利用者の間でそんなトラブルが起きている。
　本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号（携帯ＩＤ）を
　付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。
　会員の情報が漏れていた宅配大手「ヤマト運輸」では、サービスの一部を停止し、被害状況の
　調査を始めた。

　トラブルが起きたのは「クロネコヤマトモバイルサイト」。サイト上で集荷や再配達の依頼をできる
　サービスで、９月末現在、パソコンでの利用者を含め約５６０万人が登録しているが、氏名、
　住所、電話番号、メールアドレスなどの登録情報を他人が閲覧できるケースが確認された。
　少なくとも２人から閲覧されていたことが分かった首都圏の女性会社員（２８）は「便利なサイトだと
　思っていたのに、情報が漏れていたとはショックだ。これから迷惑メールや電話が
　来るのではと不安」と語る。同社では「情報が漏れてしまったことは大きな問題。２５日までに
　対策をとりたい」としている。

　同サイトを含め、日本の多くの携帯サイトは携帯ＩＤなどによって閲覧者を識別しているため、
　携帯ＩＤを持たないパソコンやスマートフォンでは基本的に閲覧できない。しかし、「エスブラウザ」を
　使うと、アイフォーンに任意の携帯ＩＤを割り当て、接続したサイト側に「携帯電話」と認識させるため、
　閲覧できるようになる。今回のトラブルは、このソフトが複数の利用者に同一のＩＤを割り当てて
　いたことが原因だ。
　アイフォーン以外のスマートフォンでも、エスブラウザと同様のソフトが販売されており、
　ヤマト運輸では、現在詳しい被害を調査している。（>>2-10につづく）

※元ニューススレ
・【社会】ｉＰｈｏｎｅを使ったら他人の情報丸見え　閲覧ソフトが原因によるトラブル発生
　http://kamome.2ch.net/test/read.cgi/newsplus/1287945075/

（>>1のつづき）
　一方、ヤマト運輸以外にも、個人認証を携帯ＩＤのみで行っているサイトでは、同様の問題が発生
　しているとみられる。エスブラウザの販売元「さいこち」では、「本来、携帯サイトの開発者が
　アイフォーンを使ってサイトの機能を検証するためのソフトで、今回は想定外の使われ方だ」
　としているが、エスブラウザは既に約２万５０００本を販売。実際には、多くの一般の利用者が
　携帯サイトを見るために購入しているとみられ、同社では今後、同じＩＤ番号を提供しないような
　対策をとるという。

　アイフォーン販売元で、公式サイトでのソフト販売を認めている米アップル社の日本法人
　「アップルジャパン」は「著作権法違反など反社会的な内容でなければ認めている。販売後の
　トラブルは販売業者と購入者で解決してほしい」としている。スマートフォンの利用者は拡大を
　続けており、調査会社「ＭＭ総研」（東京都）の調査では、スマートフォンの予測販売台数は、
　２０１０年度は携帯電話全体の１割強だが、５年後には５割を超えるとみられる。（以上、一部略）
　http://www.yomiuri.co.jp/net/news/20101025-OYT8T00221.htm?from=navlk

・詳細についてはこの問題を発見したというMoba氏のブログにて説明されているが、
　携帯電話のブラウザを偽装するiPhoneアプリ「SBrowser」で携帯電話用の「クロネコメンバーズの
　Webサービス」にアクセスし「クイックログイン」を行ったところ、自分のものでないIDでログイン
　できてしまい、そのユーザーの名前や住所、電話番号などが閲覧できてしまったらしい。
　問題を発見したMoba氏が高木浩光氏に相談し、高木氏から読売新聞の記者を紹介されて
　記事になったとのこと。高木氏からは「以前から氏が警告していたケータイID絡みの問題」
　「問題はサイト側にある」などのコメントを貰ったという。（抜粋）
　http://slashdot.jp/security/10/10/25/0225253.shtml

怖いよ…
http://livedoor.2.blogimg.jp/laba_q/imgs/9/b/9b55611b.jpg

たわけ

yahooBBが始まったときにも、ほかの家のパソコンの中身が家庭内LANと同様に確認できた前例があるよね。

>5
同列に語るお前ってヴァカなの？

ＩＤが付与された文字列のみ　ってのは改善してくれ

あんなもん覚えれるわけないだろ

保険詐欺企業ヤマトはこんなもの

アンドロイドも同じって書いてあるのに
スレタイから意図的に外してるのはなぜ？

登録者数は９月末時点で約５６０万人。

図書券５００円でゆるしたる

５６０００００×５００＝倒産！！！！！！！！！！！！！！！！！！！！！！

ホスト名と環境変数だけで識別できるのを前提として構築されたサイトが
多いからこういうのはかなり多発しているはず。携帯の時でも一部の業者
が悪用してたという話を聞いた事がある。

>>5
それはOS側の仕様であってプロバイダの責任ではないかも

AppleStoreが開始したときも
他人の個人情報をのぞき放題のトラブルが、15分間、起きた。
2000年、まだのんびりした時代で
各メディアは口をつぐんだ。

>>12
そんときおれは、口止め料にDVD-Rメディアを20枚もらった。
ばんざい。

パソコンからは閲覧できないならケータイが悪いだろ

>>10
宅急便1回無料券　で終わりそうな気がする

たしか回数券の制度あったろ？
あれバラして配るのｗ

営業所留め　パソコン部品　とか・・・
ばれたら恥ずかしいおｗ

よくわからんが、これってソフトとソフト販売者の問題で
ヤマト運輸は何も悪くないんじゃね？

これって、iPhoneだけじゃないんじゃ・・・

集荷依頼
サイズまけてくれる運ちゃん
持ち込み
サイズまけてくれる代理店ババア

最初から安いがキッチリサイズ測るゆうちょババア

>>9
つーか、元の記事がiPhone悪いみたいな見出しじゃないか。

>>17
良く解らんなら、黙ってろ…っていうか
ヤマトのサイトの作りがダメなだけだ。

>>18
だけど、マスコミはiPhoneが悪いみたいな記事ばっかり

>>17
とばっちりだろうけど、サービスを提供した責任はあるんでね？

これってヤマト運輸以外にも
同じ問題が発生しそうなんだが。
ヤマトだけならヤマトの問題だと思うけど。

>>9
日本で使われているスマートフォンの9割がiPhoneだからじゃね？

>>19
521 名前：名無しさん（新規）[sage] 投稿日：2010/10/23(土) 00:53:58 ID:thJZBxFq0
購入者だけど、今日届くはずのメール便が追跡で２冊返品になっているのを
営業所の責任者に聞いたら「今まで２ｃｍ越えの商品がお客様宅に届いたことがあるかも
しれませんが、今後は一切ございません。万一届いた場合は営業所責任者にご連絡下さい。
荷受した営業所責任者と連絡をとり、受け付けたＳＤも詳細に調査致します。」

と電話で回答を受けた。

ん？これがあるとスマートフォンでも携帯用サイトがみられるようになるのか？
Android用ないの？？？

また高木大先生が大活躍するときが来たか

>>17
どう考えてもサイト側の落ち度だろ。
特定のブラウザから見たら個人情報丸見えだなんて。

これとか、このソフト使って作ってんじゃね？アカウント
http://auctions.search.yahoo.co.jp/search?p=mixi+%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88&auccat=&aq=0&oq=mixi&ei=UTF-8&tab_ex=commerce

アンドロイドというか回線ドメインによるんじゃない
サイト側の携帯識別はドメインで識別しているサイトが多い

携帯は個人所有でそのドメインからアクセスされ、また携帯IDを保有している環境であれば
本人に間違いないとの思い込みがこういう問題を生んだだけ

同じＩＤを発行って馬鹿丸出し。ＩＤの意味分かってんのか？

ドメインを見ているならまだマシで酷いと端末IDのみで本人認定してるとこあるよな

サイト側で、キャリアのIPで振り分けしてやる処理が必要ってことか。
キャリアのIP追加されたり変化するから運用めんどくさいね。

携帯の識別番号でサイトの認証してるって事は
中古の携帯買ってきて、以前の持ち主がこの手のサイトのアカウント取ってた場合も同じような事が起こるのか？

確かにソフトが問題だとも思えるが
便利さの余りにセキュリティーが疎かになったとも言えるな
便利さとセキュリティーは相反するからな
識別IDが機体固有番号と言う前提が崩壊した時点で
識別IDによる認証は意味をなさなくなるからな

>>21
＞良く解らんなら、黙ってろ…っていうか
ヤマトのサイトの作りがダメなだけだ。

本当に君はよく分かってるのか？これヤマト運輸でやったら繋がったってだけの話
だとわからんか？ヤマトにかぎらずどのホームページだって携帯IDで本人確認するんだから。
携帯IDにパス４桁とか使うHPもあるけど、それこそ簡単に割り出せる。

一番の問題は他人の識別番号で利用できた点だよ
つまりあちこちのサイトから個人情報抜き放題

>>35
最近の携帯は本体ではなくカードにIDが入っているから無理だけどそれ以前のならいけるかも

さすが隣国

>>38
識別番号だけで認証しちゃうのが問題だろ
User-agentだろうがヘッダだろうがただの文字列だから好きに弄れるって事を忘れてる

>>34
IP見て割り振りするのはもとから「必須」

>>37
だからその仕組みがもう賞味期限切れで終わってる、
スマフォが増えてきたのでもはや実用になりませんって話
諦めて普通にIDとパスワード使うしかないのよ

ＳＢがまともなアプリ作ってれば問題なかった
パスワードより携帯ＩＤ使ったほうが安全
携帯の指紋認証してるようなもんだし

今朝の読売新聞を見ると「iPhoneで」とデカデカ見出しブチ抜いてるけど
それでいいのか読売ｗ

ある種のプロキシ立てたら偽装し放題。パソコンからそうやって除いてた人いるんじゃね？

携帯電話サイトはこういう危険がいっぱい。

だからヤマトのサイトがiPhoneのIP帯域を弾いてなかったのが原因だろ、これは。

禿の横紙破りに屈した総務省が根本原因だな、これは。

>>42
> パスワードより携帯ＩＤ使ったほうが安全
思い込みだけww

>>41
SIM自体をスマートカード認証装置とする方がパスワードよりは固くて便利だと思うよ
ソフトのみでもOAuthみたいなシステムもあるしな

>>43
通報者が切れてるよｗ
http://mobaphoto.blogspot.com/2010/10/yomiuri-onlineiphone.html

>>17
> よくわからんが、これってソフトとソフト販売者の問題で
> ヤマト運輸は何も悪くないんじゃね？

ヤマト運輸は、個人情報をまったく防御してなかったんだが。100%ヤマト運輸が悪い。

これさ、ブラウザをPCで自作しても
同じ事できるんじゃねーの？

>>37
てかその携帯IDによる個人識別の危険性って結構前から言われてたよねｗ
むしろ今まで手を打ってこなかった方が悪いとしか・・・

>>52
どうだろうな
さすがに携帯キャリア以外のIP帯域は弾いてんだろ

>>52
携帯用のドメインでアクセスできればね

>>54
PC→オミトロンか何か→脱獄iPhoneテザリング、ってやれば結局見放題だよ

iPhone　な　ん　か　使　っ　て　る　奴　は　馬　鹿　！

この国で携帯と呼べるのはdocomoだけ！！！

>>51
つまり、自分の家の敷地内に不法侵入されても
防御してない方が100％悪いって事？

ヤマト運輸不買運動！！！！！！！

>>46
IPなんて闇プログラマに掛かればあっという間に偽装出来ますよ

>>56
iPhoneの帯域を弾かないアホが多いんだな

ガラケーなら大丈夫って言うけど、iPhoneのJBと同じようにガラケーがハックされたら一瞬で崩壊するよね。
それはMacならシェアが低いからWindowsよりウイルスが少なくて安全！なんて言うのと同レベルの詭弁なんじゃないの。

>>60
闇プログラマ（）笑

ｴﾛｹﾞの配達記録とか見られちゃう('A`)

UIDとパスワードを入力しないログインなんてすべて邪道
簡単ログインなんて利便性だけのセキュリティZERO

>>61
相当多いと思うよ
iPhoneには携帯レイアウトを見せたいって感じで最初に携帯サイトに分岐させちゃって
でもう頭の中は携帯電話になっちゃって、ヘッダ変更という発想自体持たないでそのまま処理してるとか。

うちのアダルトサイトなんて3サイズ入力しないとログインできないんだぜ！

これ完全に不正アクセスだから閲覧した奴は全員逮捕だろうな

>>58
今回の件で言えば、自分ちの玄関開けたらよその家だったということで
本人は悪くないからなw

防御しない方も悪いが、ハッキングまがいのソフトをつくった方も悪い。
というのが一般人の感覚ではないかい？

ヤマト以外でも成りすましてログインすることは可能ということか。

>>62
でもハックされた事例は無いしな。あるけど発覚していないだけという見方もあるが
事実として表立った被害の報告は皆無なのが現状
よほど難しいのかリスクが大きいのか

セキュリティの問題はおいといて、これはSBrowser作った奴がバカだろ。
識別番号決め打ちじゃなくてせめて乱数使って制定しろｗ

>>72
それじゃ、個人情報盗めないからじゃね？

>>53
あれだけ裸でもレギュレーションによって「危険性がある」で済ませられるほど原理的には固い認証法だから。
近代化すればパスワードあたりよりは固い。

>>60
経路を押さえる必要があるが、これがかなり難しい。
通販で偽の住所を書いて注文したら自分には届かない

決めうちでもそうでなくても同じだろ
他人の識別IDを用いてサイトにアクセスすればそれは成りすましと変わらない
サイトよりもそれを用いてアクセスした人が処罰されるべき

SBrowserが諸悪の根源なのは間違いない
ヤマトはちゃんとiPhone弾くように作らなかったのが悪いわ

ヤマトには業務停止命令を出すべき

>>74
結局、セキュリティグダグタのiPhoneを、ＳＢが携帯の網にのせちゃったのが問題だよね。

iPhoneやsbbrowserだけ禁止すれば問題解決
　
というのは全く筋違いで、危険な解決法。
パソコンだろうとほかのスマホだろうと
ユーザーエージェントを設定するだけで
同じことがおきてしまう。
ヤマトの側で、IMEI番号だけの「携帯型の簡単ログイン」を禁止し、
たとえばGmailのように期限付きクッキーによる認証に変えないとだめ

なんでパンダを許可してんだよ

識別番号を偽造されちゃったらサーバはどうやって端末を認識するんだ

これって仕組みそのものに穴があるってことじゃないの？
ヤマトは悪くないような・・・

>>75
ノーガード戦法はいい加減やめてください

>>75
＞他人の識別ID
じゃなくて、SBrowserの規定値。
他人の識別ＩＤは、その携帯手にいれなきゃわからんよ。

たとえばmixiは同じソフトを使ってもアクセスできない
ヤマトのセキュリティが不足

>>78
乗せてないよ。panda-worldで区別されてるよ
ヤマト側が意図的に一般携帯扱いしてるんだよ

ttp://www.itmedia.co.jp/news/articles/1010/25/news044.html
読売と内容全然違ってワロタ

SOFTBANKがまた悪い事をしたらしいな

>>51
何言っているんだ？
ソフトの欠陥にユーザは責任取れないぞ。

>>79
偽装対策すればいいだけだろ
携帯でＩＤパスワード入力とか舐めてんのってぐらいうざいんだが

これってID偽装している奴らの個人情報が共有されたって事だろ

これって、スマートフォンに携帯ブラウザ突っ込んで
携帯サイトみてても同じ事なんだろ？

>>10
図書券ってもうナイだろ…

結局IDだけで入れるのが問題なんだろうな

>>91
誰かが他人の端末ID使って片っ端から収集した可能性はある
少なくともそういう事を阻止できる仕組みにはなってなかった

高木先生のブログをちょっとでも読んだことのある奴なら
ヤマト運輸は悪くないとか携帯端末ID認証はセキュアみたいな
バカなことは言えなくなると思うんだけどな

>>96
はげどう

ヤマトがアホすぎるだけだろ

出会い系サイトとして新たにスタートすれば？

運輸業界最大手のヤマト運輸がこの程度セキュリティーとか舐めてんのか？
さすがブラック企業

>>10
今は図書券なんかねえよ小母さん

読売、ニュースのタイトルがあまりにもおかしすぎる。
あれじゃあ一般の人はiphoneに問題があるんかと思ってします。

ケータイサイト（笑）

ん？
今回の件って、問題のブラウザが携帯IDを固定値で持ってたからだろ？
たとえば、一般携帯のIDが「0001〜9999」とかで個別だったときに、このブラウザはそのIDを「AAAA」とかで決め打ちにしてた

Aさんが利用登録　⇒　システムはAさん＝「AAAA」と登録
Bさんが利用登録　⇒　携帯ID「AAAA」だからこの人はAさんだ　⇒　Aさんの会員ページ

スマホが普及するまで、入力の不便な携帯ではこういう認証が主流だったんだし
携帯ID偽装を許した側の問題な気がするが

ヤマト運輸は、無料でまたやれよ

>>103
ttp://takagi-hiromitsu.jp/diary/20100411.html
ttp://takagi-hiromitsu.jp/diary/20100619.html

読んどけ

ユニークIDがあれば認証ができるという幻想 By高木先生
http://takagi-hiromitsu.jp/diary/20100411.html

>>3
尻の下に敷いてるのは誰やねん！！！

ttp://d.hatena.ne.jp/HiromitsuTakagi/00000001#subscriberid
6，7年前から問題視してる人が居るのに、
未だにそのままってのは何なんだか

ああいや、そういう非現実的な理想論はどうでもよくて
現実に既存のシステムがそう稼働している状況下で、影響範囲を想定せずにゴーサインを出したのが問題だろ？ってこと

システム運営している側は第三者なんだから、携帯ID偽装OKのゴーサインが出る前に連絡貰ってシステム作り変えない限り
対応できないっしょ
エスパーになれとか非現実的な話じゃなくてね

その問題視している人が、もっと現実的な話をしてれば信用されたんだろうけど
非現実的な理想論者は現場には受け入れられないから、たぶん現場サイドは誰も知らなかったと思うし
後だしジャンケンみたいなもんだよね、ユニークID認証の神話が神話ではなく現実として稼働していたんだから

>>3
何が怖いかわからん。

>>58
> つまり、自分の家の敷地内に不法侵入されても
> 防御してない方が100％悪いって事？

不法侵入と例えられる事象は起きていない。

アイフォーンが出てくる前からの問題でしょ。
携帯を盗まれたら色んな意味で個人情報抜かれまくりな上に今は携帯で決済まで出来てしまう時代だからね。
携帯を盗まれる代わりにアイフォーンが出てきただけの話。

>>105-106 >>108
iモードにCookieつけろってぶーたれてるだけじゃん
オリジナル仕様はやめろって言ってるくせに既存のルール無視した独自仕様のアプリ作って騒ぎ起こして何がしたいのって感じ

>>1

マカ<丶｀Д´>「いい加減、ネガキャン厭きたﾆﾀﾞ！！」

だからサイトの作りの問題でしょうに
IPでiPhoneを弾けばUIDがどうこう以前に表示すらできないんだから
それをやっていないヤマトがダメ

昔ローンソが情報漏れで500円だかの金券か何かを送ってきたな

>>114
まぁ20年以上昔のインターネットならそれでも良かったかも知れないけど、
今は悪意があるユーザも居る世界なんだから
脆弱性がわかってる状態で放置してる方も馬鹿

>>106
OAuthみたく各サービスに対するトークンの保持でOKでしょ
ユーザのユニークIDを保持するのはキャリアだけで、
各サービスプロバイダにはキャリアから
ユーザとサービスの積集合に対するユニークなトークンを配るだけでよし

個体識別番号を何の捻りもなく送りつけるという携帯電話の仕様も腐ってるが、
基本的にはヤマトのサイトの作りが悪いね。
個体識別番号を利用者の特定に使うのなら、キャリアの閉域網からのみアクセス可能とし、
インターネットからのアクセスは出来ないようにしないといけない。
(それが出来ないのであれば、個体識別番号以外にパスワード入力等の本人確認手段を用意しないと)

でも、同じような問題抱えているサイトは多いだろうなぁ…。キャリアと個別に接続しているところの方が少ない。

IDなんてハックツールあれば
いくらでも作れるんだから
パスワードを要求しないのがセキュリティ的に一方的に悪いだろ悪い

クッキー食えない携帯ってdocomoだけなのね。

これ使えばiPhoneでTDRの待ち時間が見れるようになるのか？

アイホンてケータイのID無いの？

携帯IDをつかった個別認識なんて利用してるなよ。
ずっと昔からセキュリティ上の問題点が指摘され続けてきているというのに。

>>124
あるけど、それ使うと危ないって話。自動ログインは、重複しないIDを自動生成してサーバーとデバイスのクッキーに保存するんだけど、docomoの携帯はクッキー保存出来ないデバイスが多いんで、みんなで危ない橋を渡ってる。

配送はヤマト一択
佐川クソすぎ

>>110
ユニクロの話を詳しく教えてください。

またヤマトか

これってPCから偽装して覗くこともできたってことでしょ？
IDとかパスで認証するんじゃなかったのか

ジョブズ｢我々を除く全てが悪い｣

iPhoneじゃねーじゃん

ヤマトのセキュリティだろ

>>9
UDID はiphone の問題だろが
アンドロイドで似たようなのがあるのはauだけ

>>22
だからこんなアホなことしてるのはiphone だけなんだよ
今も所は

>>133
UDIDの問題とかじゃないから
偽装端末IDで認証通っちゃうサイト側の問題だから

>>132
どうしてこういうあからさまな嘘を書く奴が出るんだよw

やっぱりソフトバンクだからか？

在日割引は無い、もおお嘘だったしね。
嘘八百は逆効果だぞ。

朝鮮人に言っても無駄かな？

ソフトバンクに罪を被せて黒猫を守る火消し方針になったのか

ヤマト内部のスーパーハカーはP2Pで流出した個人情報を回収出来るらしいから、そのひとに頼めばいいんじゃね？

>>111
右の女性の下

>>136
個人的感覚としては、
2:8でヤマトが悪い
2割ぐらい、SBMが悪い
って感じかなぁ

根拠ないw

ソフバンもヤマトも使わないでＦＡだろｗ

>>140
結局スマートフォンのなりすましには違いないじゃん
わざと隙間からすり抜けたなら、どう考えてもスマートフォンと五分五分だろ

これは　iphoneが悪いと印象操作か

どう考えても
クロネコのシステムが悪い

NECのノートパソコンで　クロネコにハッキングしたら
NECのノートパソコンでハッキング!!
と書くのだろうか

商品名を特定するのはまずいだろ
アップルは　読売新聞を訴えてもいいレベル

>>139
きゃあああああああああああああああ
あああああああああああああああああ
ああああああああああああああああ

顔が〜〜

「悪意を持ったものであれば簡単に他人の個人情報を
見ることができる状態になっていた」ことが問題なのにね

＞高木氏からは「以前から氏が警告していたケータイID絡みの問題」
＞「問題はサイト側にある」などのコメントを貰ったという。

たしかにこのひと、前からこの件についていろいろ書いていたよね。
ざっと見て、ケータイはこえーなぁという印象を持った。よく覚えてないが。

これはスマートフォンの話であって
普通の携帯とＰＣは関係ないの？

>>50
なんだやっぱヤマトが悪いんじゃん
もしかして読売がヤマトを加害者にしなかったのは広告をもらえなくなるからですか？

クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸のケータイサイトの「クイックログイン」に問題が。「PCでは見えないはず」に頼ったサイトの危険性があらわになった。
http://www.itmedia.co.jp/news/articles/1010/25/news044.html

個体識別なんていう気色悪いことを元からやってる携帯が悪いし
それを疑問に思わず使ってる携帯ユーザーも悪い

>>87
さすがにIT系ニュースはちゃんと把握してるのね

>>記者の方の名誉のために言っておくと、サイトに掲載する担当は別にいるそうで
>>書いたご本人も「こんな風に縮められるとは思わなかった」とのこと
　
それを４スレも取り上げるニュー速+やビジネス+もなんだか。

面倒だけど暗証番号入れろよ

ヤマトが悪いというよりは、
そもそも携帯の業界で常識化してしまっている認証方法が
根本的に終わってて、しかも危機感なくそれを使い続けてるって感じ？

http://www.itmedia.co.jp/news/articles/1010/25/news044.html

http://takagi-hiromitsu.jp/diary/20100411.html
http://takagi-hiromitsu.jp/diary/20100619.html

auのezwebなら問題ないのか

これってソフト会社が勝手に携帯ＩＤ捏造して提供しているって事でいいのか？

こんなもん全てのスマートフォンで起こる話で、
そもそもお粗末過ぎるユーザ認証を利用してきたケータイサイト運営側の問題だろうに。

技術が理解出来ないって可哀想な事だな。
世界が次へ進んで行くのに、
これからも謎のブラックボックスに怯えながら生きて行くのだらう

つうか過去の慣習ってだけで
セキュリティもクソも無い杜撰な認証システムを放置してきた運営側の問題だが、

ヤマトに限らず、ほぼ全てのケータイサイトが同じ問題抱えてるだろ

サイトのアドレスのあとに"/user"といれたらリストが出てきたみたいな話

あんまりネットサービスは利用しないようにしているけれど、
それでも個人情報を入力せざるを得ない時ってあるもんなぁ・・・・

>>155
多分だけど、一度でもクイックログインした事のある全員の情報が端末IDだけで閲覧可能な状態だったはず

IDが名前、パスが名前名前で登録してる奴多い

端末IDは変えられない。
「勝手サイト」にも、必ず自動でIDが送信されてしまう。
　
つまり特定の個人のアクセス記録が、隠せずに残ってしまうということで、
もう、このことだけでもガラケーの怖さがわかると思う

要するに携帯のクイックログイン自体がヤバいって事なんだよな？
確認したらYahoo!メールと尼がクイックログイン状態だったので
とりあえずログアウトしておいたが、毎回ログアウトして必ず
パスワードログインすれば問題ないと思っていいのか？

>>75
利用者は惜別IDが何かさえ知らないし、認証がどうなってるのかさえ知らない。

○○使えばアイフォーンでもヤマトのサービス使えるよ→じゃあ使ってみよう。
これくらいの話だね。

>>81
端末IDではなく、登録したIDに登録したパスワードで認証。
パソコンでは普通にやってるじゃん？

ttp://ja.wikipedia.org/wiki/%E5%A5%91%E7%B4%84%E8%80%85%E5%9B%BA%E6%9C%89ID

この辺読めば、今回の問題の意味が大体わかる

パスワードを入力させるだけでも回避可能なのに。
利便性を追求するからこうなる。ローソンも、似たような事やってたよな。

昔の通販サイトとか、URLの注文番号の部分いじればいくらでも他人の注文見られるのがデフォだったしな

契約者IDでの認証はかなり前から問題が指摘されてるよな。まだ使ってるのか。

いろいろ気色悪い携帯は潔く捨てて、みんなでPHSを使おうよ！

>>171
俺はWillcom使ってるけど、
お前を気色悪いと思う

ドメインと固有識別番号による認証サイトならたくさんありそうだな。
携帯からのアクセスだとcookieが使えなかったための苦肉の策だったような気が・・・
スマートフォンの時代になってアプリの制約が少なくなったことから発生したセキュリティホール
のような気がする。

androidもヤバイんじゃない？docomoは対策を取ってるんか？

ははは

ソフト販売業者も
＞想定外の使われ方
って言い逃れしてるし
利用者が不正アクセス防止法違反に問われて終了？

業者に甘く、消費者に厳しい社会だから仕方ない？

>>5　あったあった。

よくある"かんたんログイン"って、全部相当するの？
セキュリティ対策をプラスしていれば別だと思うけど･･･

>>175
ｗｉｎｎｙの作者も同じような言い逃れして捕まったろ

他人のサイトにログインした香具師は逮捕な

クローン携帯みたい

暗号化無し、しかもPCからアクセス可能ｗ
iphone関係ないじゃんｗ

ｸﾛﾈｺﾔﾏﾄ ﾓﾊﾞｲﾙｻｲﾄ
http://imode.kuronekoyamato.co.jp/cgi-bin/init.cgi

>>127
いっぺんヤマトで荷物破損体験すれば佐川となんも変わらんことがわかるｗ
「新東京ベース」でググってみれば２ちゃんねるのアルバイト板スレが結構上位に来るから
読んでみそ。

日本固有の問題らしい

>>177
いわゆるキャリア外部の勝手サイトのはほとんど該当。
cookie使っているところもあるけど、携帯サイト上がりの開発者は、危険極まりないのcookieの使い方してる場合があるけどね。

とある通販業者。
ようこそ、××さん。（ご本人でない場合は、再ログインして下さい）
購入履歴とか、丸見えなんですけど…。

いわゆる、ログイン不要っていうのが、問題になったみたいだね
対策として、今は、ID入力必須になってる

ネタは郵政関係者か？

Cookieでも（2回目以降）ログイン不要にできる

何度も書かれてるけど、安全な自動ログインの実装方法は既にPCで確立されてるのよ。それにガラケー脳なサーバー技術者がついていけないだけ。

その実装を阻んでるのも古風なガラケーなんだけど。docomoがクッキー食える様になったのは去年だっけ？いかに足引っ張ってるか、良くわかるだろ。

パソコンのブラウザで出来るの？これ。
例えば火狐のアドオンとかで携帯のブラウザのUAにして固有番号も振って…とか。

加害者（攻撃側）になれるのは、iPhone,Android,Mac,Win全て。
実際被害者になったのはiPhoneユーザーのみｗ

原因はＵＩＤを固定値にしたソフト制作者と、その腐ったソフトの審査を通したApple。
被害者は、ヤマトとアップルに謝罪と賠償を請求シル！

なんで携帯以外からでも見られるようになってたの。
携帯かどうかを確実に判断できる方法はないけど。

スマートフォンとかポケットWiFiとか、
携帯なのか携帯じゃないか、よくわからないものが増えている

もう「携帯」「携帯以外」という発想自体がガラパゴス

>>188
クッキーとケータイidは格納されてる場所が違うのでクッキーを使ったシステムでは漏洩とか有り得ない。
ケータイIDはキャリアが与えているコードで通信が生じたときに付与される仕組み。
それを偽装付与させ成り済ましたようにしているアプリでIDの重複利用が起きれば他人に成り済ますことだってできるよな。

つまり、かんたんログイン/クイックログイン自体がナンセンス

>>191
キャリアに通信が発生しないと無理だろ。ケータイで接続してパソコンでネットならできるかもしれんが…ためしたことはない

UA偽装とURL文字列とかで見られるってことなら
アプリケーションを批判するのはキチガイ

ん、これだいぶ前にＣＩＡから警告出てたよ
アイフォンは丸見えだって

Cookieであろうと、携帯の個体識別番号であろうとHTTPリクエストヘッダに埋め込まれて
Webサーバに送られてくるという点は何ら変わらん。Cookieなら安全という事はない。
PCから幾らでも好きな内容を設定してWebサーバに送りつけることができるし、
それを悪用すれば「他人の成りすまし」は可能。

端末の個体識別番号でもCookieでも、成りすましを防止して安全を担保するには、セットするIDの内容を工夫するしかない。
桁数を増やして総当たり攻撃を事実上不可能にするとか、IDの生成に素性のよい(推測されにくい)疑似乱数列を使うとか。
個体識別番号の付け方は各キャリアでまちまちだけど、ドコモのiモードIDはよくないね。
成りすましを防止するには明らかに桁数が足りない。

>>200
そういうはなしではない気がする。
携帯IDは固定されていて、各サイトで使いまわされてるので
そもそも他人が入手できる。
なので、確実に該当する携帯電話から送出されているもののみログイン可能
にする必要があるけど、それを判断する手段がないという。

>>201
欠陥品であるiPhoneでなければ大丈夫だよ

あれは、邪悪なるアップルのみが全ての利益を吸い上げるシステムになっていて
己の不利益になる改編はできないけれど、アップル以外の全てを滅ぼすためであ
ればいかなる邪悪な行為も黙認する悪徳宗教だから

>>202
これは日本の携帯電話独自の方式の問題だからアップルの邪悪さとは関係ない。
海外や普通のパソコン向けサイトでは起こらない。

仙石が悪い

>202
iPhoneやヤマト運輸以外でも問題は起きてた。
http://takagi-hiromitsu.jp/diary/20100221.html
http://www.tokumaru.org/d/20100222.html

iPhoneからYahooモバゲーに書き込むとhtmlタグが吐き出されるのって、どんな現象なの？

ヤマトの端末とつながってるうちの会社のパソコンも昨日から様子が変

>>180
クローン携帯ってなつかしいな
むかし、
娘の携帯電話代が10万を越えていて、娘はほとんど携帯を使っていないと証言したことから
その親が「これは絶対クローン携帯の仕業だ」とドコモに支払い拒否していたが、
ある日テレビ局から「クローン携帯の可能性があるので金庫に１ヶ月保管していたらどうですか？」
と言われ、携帯を金庫の中に保管したら、翌月の請求額が基本使用料のみだった
って面白ニュースがあったな

玄関の施錠方法にチェーンどころか普通の鍵すらつけず顔認証だけで開くようにしちゃったのがヤマト

しかも顔認証の精度が写真見せる程度で開いちゃう程度のもの

んで顔写真が取れるカメラの中から一つだけ（iPhone）とりあげてこいつが悪いみたいに書いてるのがこの記事


こんな感じですかね

不自然なiphone擁護が気持ち悪い

http://takagi-hiromitsu.jp/diary/20101025.html#p01
高木先生の新しい解説

age

あたかもiPhoneが悪いかのような書き方だな。
100％大和側の設計ミスなのに。

ソフトバンク工作員稼働中

>>214
この件は、iPhoneは悪くないが、ソフトバンク（と他の携帯会社）とサイトが悪い。

アプリは悪い？

マイクロソフト信者（爆笑）

iPhone のロック画面を迂回するバグ、履歴や連絡先、写真にアクセス可能 (動画つき)
ttp://japanese.engadget.com/2010/10/25/iphone/

iPhoneいろいろダメすぎだろｗ

>>87
Appleは大スポンサーだから、悪く書けなかったんだねｗ

>>211には
SBrowserが同じIDを送信する構造になっていたのが問題って、
はっきり書いてあるじゃん。

もともとサイトの閲覧テストに使うようなアプリを、普通の人がDLして
使ったのがまずいんだよ。

似たような欠陥アプリは、かなりの数あると思うな。

情報テロみたいな携帯だな

うん。ガラ携は怖くて持てない。

ガラ携やiPhoneが怖いんじゃなくて、かんたんログイン、ガラ携向けクイックログインがまずい

ガラけ〜サイトって怖いな

欠陥アプリによる被害はまだまだ広がりを見せそうだな。

iPhone関係無いじゃんｗ
分からないことは記事にするべきじゃねぇよなｗ

>>225
理解した上で、こう書いてるんだと思うよ
だから余計ﾀﾁが悪いとも言えるが

「クロネコヤマト」の携帯サイトに脆弱
http://itpro.nikkeibp.co.jp/article/NEWS/20101028/353519/

>ヤマト運輸は10月25日、同社が提供する携帯電話向けWebサイト「クロネコメンバーズのWebサービス」に
>脆弱（ぜいじゃく）性が見つかったことを明らかにした。

中略

>iPhoneやこのアプリが問題なのではない。
問題があったのはあくまでもWebサイトである。
>iPhone以外のスマートフォンやパソコンからも“盗み見”は可能だった。

解決しましたってメールが来た

>>228
でもPCから他人の端末ID使って入れましたって事隠してるな

>>229
おまえ通報されるぞ。2chは匿名じゃない。

>>230
すれば？同じ事書いてる>>227の記事も忘れずにな

pho

※このメールは、重要なお知らせのためすべてのクロネコメンバーズの皆様へ配信しています。

いつもご利用ありがとうございます。
ヤマト運輸よりクロネコメンバーズの皆様へご報告とお詫びのご連絡です。

一部報道にもありましたが、このたび、携帯版「クロネコメンバーズのWebサービス」に脆弱性が見つかり、クロネコメンバーズの皆様にはご心配をおかけしましたことを深くお詫び申し上げます。
すでにシステムの修正は完了しておりますことをご報告いたします。

１．脆弱性の内容
携帯版「クロネコメンバーズのWebサービス」のクイックログイン機能をご利用の場合、一部のスマートフォンから特定のアプリケーションを利用し、特定の操作を行うことで、ご本人とは別の方がログインできてしまうことが判明いたしました。

２． 影響範囲
過去のデータを確認することで発生した問題の影響調査は完了いたしました。
結果、1名のお客様が、2名の方からログインされたことが確認できました。
該当のお客様については個別に対応いたしております。

３．対応方法
１０月２５日（月）よりクロネコＩＤの入力のみを省略し、パスワードは入力していただくよう修正して、クイックログイン機能を再開いたしました。

以後、このような事態を二度と発生することのないよう信頼回復に努めてまいります。
今後ともクロネコヤマトをよろしくお願いいたします。

■配信先
クロネコメンバーズにｅメールアドレスをご登録いただいているすべての方へ配信しています。
（※2010年10月25日 3:00現在）
■配信元
ヤマト運輸株式会社
〒104-8125　東京都中央区銀座 2-16-10
クロネコメンバーズお問い合わせ先TEL：0120-36-9625

※本メールを許可無く引用、転載することはご遠慮ください。

メールにコピるなと書いてあると早速コピるうp厨であった

べつに遠慮しなくていい

>>233
熟々杜撰な企業だな

>>236
比較的まともな対応では

携帯ID入手すれば見放題だったって本質を隠蔽してるよ

まあたしかに