著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年7月中旬の注目ニュースは3件。最初は、スマホ決済サービス「7Pay」などで採用されるID連携に関するヤフーの注意喚起を取り上げる。

端末がユーザー識別子を直接やりとりするのは危険(7月18日)

 ヤフーは、同社WebサービスのIDを利用して、別のWebサービスにログインできるようにする「Yahoo!ID連携」に関する注意喚起を出した。Yahoo!ID連携を利用するWebサービス事業者に対して、実装方法の再確認を求めている。

Yahoo!ID連携に関する注意喚起
(出所:ヤフー)

 注意喚起では、脆弱性のある実装方法の具体例を示した。端末上で動くJavaScriptやスマートフォンアプリが、Yahoo!ID連携を提供するシステムと直接やりとりして認証する処理は危険だとしている。なりすましによる不正ログインを許す危険性が高まるからだ。

 端末上で処理すると、どのユーザーが認証されたかを示すユーザー識別子という情報が端末に直接送られる。Webサービスがユーザー識別子だけでユーザーを認証する場合、攻撃者がユーザー識別子を窃取したり、偽造したりすれば、なりすましを許すことになる。

 同社は、端末がユーザー識別子を直接取得するのではなく、ID連携を利用するWebサービス側のサーバーがユーザー識別子を含む属性情報を取得するよう促している。

 なお、セブン・ペイのスマホ決済サービス「7Pay」では、Yahoo!ID連携を採用していた。セブン・ペイはセキュリティー上の理由で、7月11日からこの連携サービスを停止している。

https://developer.yahoo.co.jp/changelog/2019-07-18-yconnect.html

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら