セキュリティ業界で有名な徳丸浩さんが書いた、「iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性」＆「DNS Rebinding」という記事(↓)を見て、ふと思ったこと。

http://www.hash-c.co.jp/info/20091124.html
http://www.tokumaru.org/d/20071126.html

このDNS Rebinding攻撃をあえて自分が持っているiモード2.0のケータイに対して実行したら･･･任意のサイトに対して、自分で作成したJavaScriptでアクセスできるってことになる。
ってことは、JavaScriptの作りこみ次第で、色んなプログラムを使った攻撃がケータイから可能になるはず。
PCからのアクセスを禁止することでセキュリティ対策を行ってきたケータイ向けサイトは要注意ですね。


やばそうな攻撃でパッと思いつくところでは、

1. ログイン画面への総当り攻撃
2. 会員登録画面への自動登録

ってところかな？


ログイン画面は、ケータイの場合数値4桁パスワードのところが多いから、総当り攻撃を食らうと危険。
特にパスワードを何らかの記念日にしてる人は多いだろうから(6月20日だったら「0620」とか)、その場合は366回の総当りでクラックされちゃう。
もし「3回パスワードを間違えるとユーザーにロックをかける」みたいな仕組みになってたとしても、単純計算で3334人に攻撃を仕掛けたら一人はクラックできることになる。(特に日付にターゲットを絞った場合は、多分数百人やれば攻撃成功するんじゃないかな？)


でも、もっと狙われそうなのが会員登録画面への自動登録ですね。
PCでは会員登録画面は自動登録を防ぐために画像認証とかを使うのが当たり前だけど、ケータイでは特に対策してないところって結構あるし･･･。
会員IDを生成して、必須項目に適当な値が入ったリクエストを送信するJavaScriptなんて、初心者レベルでも書けるっしょ。

もっともこの攻撃って、

HTTPリクエストヘッダのHOSTフィールドの正当性をチェックする

とするだけで対策OKだそうなので、防ぐのは簡単です。