ヤマト運輸は、同社が提供する携帯電話向けWebサイト「クロネコメンバーズのWebサービス」に脆弱（ぜいじゃく）性が見つかったことを、2010年10月25日に明らかにした。他人の会員ページにログインして、個人情報を閲覧できる状態が続いていた。現在は対処済み。

　同サービスでは、ユーザー登録をすれば、集荷や再配達などを携帯電話で依頼できる。今回、このサービスで採用している「クイックログイン機能」に問題が見つかった。

　これは、パスワードを入力しなくても会員ページにログインできる機能。この機能では、携帯電話機1台1台に割り振られた「契約者固有ID」を使って、正規のユーザーかどうかを判断していた。契約者固有IDは、Webサイトにアクセスすると携帯電話のWebブラウザーから自動的に送信される。問題のサイトでは、送られてきたIDが登録ユーザーのIDと一致すれば、自動的にログインさせていた。

　契約者固有IDは携帯電話上では変更できない。しかしながら、パソコンやスマートフォンからは、任意の契約者固有IDを送信できる。このため、契約者固有IDだけで正規のユーザーかどうかを判断するのは危険だとされている。

　問題のサイトは、まさにこのケースに該当する。今回の脆弱性は「iPhone」ユーザーによって発見された。発見者の情報によれば、iPhoneで動作する、任意の契約者固有IDを送信できるアプリを使って同サイトにアクセスしたところ、他人の会員ページが表示されたという。

　ただし、iPhoneやこのアプリが問題なのではない。問題があったのはあくまでもWebサイトである。iPhone以外のスマートフォンやパソコンからも“盗み見”は可能だった。同社では、少なくとも1人の登録ユーザーの会員ページに、2人の別ユーザーがログインしたことを確認したと発表している。

　今回の問題を受けて同社では、10月19日にクイックログイン機能を停止。10月25日からは、パスワードを入力しないとログインできないように修正した。

（日経パソコン　勝村幸博）

［PC Online 2010年10月27日掲載］