Hatena::ブログ(Diary)

とて日記 このページをアンテナに追加 RSSフィード

2011-12-24

SPモードは端末固有IDを使えば良かったのか?  SPモードは端末固有IDを使えば良かったのか?を含むブックマーク

SPモードメール障害は設計ミス - とある技術屋の戯言

[続報]spモード障害、なぜ処理能力オーバーで「メールアドレスの置き換え」が起きたのか | 日経 xTECH(クロステック)ブックマークコメントTwitterのRTで、

「なんで端末固有IDで結びつけなかったの?」とか、

MACアドレスで紐付ければいいものを」とか、

「動的なIPアドレスで紐付けるなんてやばすぎる」とかって、

コメントをたくさん見かけたので記事を書くことにした。

「固定のキーにすべきところを動的なキーにしてたのが間違いだった」と勘違いしている人がいるが、これは間違いである。


以前に携帯電話のかんたんログイン機能セキュリティ問題として話題になった。これは端末固有IDが毎回同じ値を出していて、なりすましが容易になってしまうのが理由だ。*1  固定のIDには偽装されるという問題が常に発生しうる。もしSPモードのメールで端末固有IDを使用していたら、他人になりすましたメールを送受信可能になっていたかもしれない。*2 なので、端末固有IDだろうと、MACアドレスだろうと、IMEIだろうとそれを主キーにして紐付けてはいけない。

偽装を防ぐためには、サーバ-クライアント間で認証して割り振られたIDを使うべきだ。IPアドレスはTCPでやり取りする分には偽装はできないので、なりすまし防止という観点では○だっただろう。

では何が問題だったか、というと認証に使っていたIPアドレスが使い捨てでなく再利用されまくる、という点である。SPモードのIPアドレスがどれだけの帯域を使用していたかは把握していないが、範囲が狭いことが事故につながったのだ。 そして再利用されたIPアドレスによって他人のメールアドレスが表示された。(最善ではないと思うが)IPv6アドレスを使い捨てていれば事故にはならなかったのではないか*3


日経コンピュータの記事には

大きな理由の1つは、メールアドレスが端末固有のIDでなく、端末に振り出されたIPアドレスとひも付いていた点にある

と誤解を招きそうな書き方がされているが、これを鵜呑みにして固定-動的の差が問題だと考えてしまうと、次は自分バグを作り込んでしまう番になるかもしれない。*4


追記 12/24 8:04

どうやら本件はHTTPSを使っているそうです。意外だった…。

http://twitter.com/#!/HiromitsuTakagi/status/150310620942708736

なので、事態はもっと複雑でした。

使っていないサービスについて、あーだこーだ推測して言及するのは

危険ってことですね。

.

*1:もう一つの理由として、サイト間で同じ値が使われることによるプライバシーの問題もあるが

*2iモードメールメールヘッダ偽装による なりすましメールが可能だった

*3Facebookで話していたところ、きちんと認証するにはSSLVPN使えよという話になった。

*4:僕はセキュリティの専門家じゃないから、この記事も恥ずかしいことを書いちゃっているかもしれない。きゃー(>ロ<)ノ

トラックバック - http://d.hatena.ne.jp/totttte/20111224