報道によれば、携帯サイトへ容易にログインできるようにするための携帯版「かんたんログイン」に、なりすましに繋がる恐れがある問題が見つかり、開発元が対応策を発表した。
この図は「なりすまし」に繋がる問題のイメージだ↑。
独立行政法人・情報処理推進機構(IPA)とJPCERTコーディネーションセンターは3月5日、「オープンソースのSNSソフト OpenPNE に脆弱性などの問題が見つかった。」として情報を公開した。
開発元のOpenPNEプロジェクトも同日付で対応策を発表し、SNSサイト運営者などへ対処を呼び掛けている。
このOpenPNEには、携帯電話端末からサイトへアクセスした場合に、ユーザーがIDを入力しなくても、携帯端末ID(固体識別番号)のみで自動的に認証できる「かんたんログイン」機能がある。
問題はこの機能の実装方法に起因するもので、携帯端末IDを不正に入手した第三者が正規ユーザーになりすましてログインし、内容を閲覧したり、改竄(かいざん)したりするほか、情報を漏洩させてしまうなどの恐れがある。
OpenPNEプロジェクトによると、「影響を受けるのはOpenPNE 1.6~1.8、OpenPNE 2、OpenPNE 3で携帯電話版のかんたんログイン機能を有効にしている場合。また、OpenPNE 2.10と同3.0以降にはIPアドレス帯域制限機能が提供されているが、デフォルトではオフになっており、OpenPNE 2.13.2~2.14.4には特定の操作でIPアドレス帯域制限機能が回避されてしまう脆弱性も存在する。」とのことだ。
OpenPNEプロジェクトは、各バージョンごとにマイナーバージョンアップや修正パッチを公開して、適用を呼び掛けている。
また、適用が難しい場合は「携帯版を使用しない」の設定にするなどの回避策を紹介している。
IPAとJPCERTコーディネーションセンターは、「第三者がこの問題を悪用した場合に、サイトに登録されている携帯電話以外のさまざまなデバイスでなりすましができてしまう可能性が高い。」として、注意を呼び掛けた。
OpenPNEは携帯サイトを中心に利用されているとみられ、多くの携帯電話ユーザーがこの問題の危険にさらされていると、セキュリティ研究者などが以前から指摘していた。