まず、セキュリティ事故の事例から。
かんたんログイン方式で漏洩事故が発生
http://takagi-hiromitsu.jp/diary/20101025.html
によりますとUAやヘッダを変更できるブラウザにより、UID(ez番号など)を騙ることで他ユーザの個人情報が閲覧可能とあります。
ですが通常ガラケーでのアクセスは必ず特定のGWを経由して行われ、GWのIPは公開されています。
そこで質問です。
・公開されるIP帯域からのアクセスで、偽の端末からかどうかの立証は不可能なのか
・これらの公開されるIP帯域にはガラケー以外にiPhoneやPCなどのUA偽装できる端末が侵入する可能性があるか
・これらのIP帯域以外からガラケーがiモードなどのサービスより携帯向けwebにアクセスすることはあるか
以上です。
簡単に言ってしまえば「ガラケーサイトにおいて、IP認証→UID(サーバが吐き出すもの)認証」で個人認証は完了するのか、または何かセキュリティ的に考慮しなければいけないことがあるのか、です。
サーバの技術に詳しい方、回答を願います。
質問文の高木浩光さんのページの URL が記載されているので、そこを丁寧に読んでいけば分かることもありますが、
・これらの公開されるIP帯域にはガラケー以外にiPhoneやPCなどのUA偽装できる端末が侵入する可能性があるか
b_wind さんが書かれている件が、下記のページに書いてあります。
http://takagi-hiromitsu.jp/diary/20100425.html
iPhone どころか PC からも使えるようなので、
・公開されるIP帯域からのアクセスで、偽の端末からかどうかの立証は不可能なのか
不可能と考えて良いでしょう。Docomo と au でも同様の事がある、という話は見つけられていないので、Docomo と au だけに絞れば、PC から接続される事は無いかも知れません。
>さらに言えば技術的にはIPアドレスの詐称も可能
ここかなり重要です!
闇プログラマーはIPアドレスを偽装可能だそうですが、そういう話ではなく。IPアドレスを詐称し、インターネット経由で通常のwebサイト閲覧が可能なのか、更に言うならそれは一般的な手段で可能なことなのか、などなど。具体的に教えていただければ幸いです。
例えば、送信元 IP アドレスを査証したパケットを送信するのは簡単ですが、実際に査証した IP アドレスで通信できる(TCP のコネクションが成立する)状態にするのは、サーバそのものを乗っ取られる、あるいは、そのサーバがあるネットワークのルータ等や、キャリアのネットワーク設備に欠陥(運用上の欠陥を含む)がある、といった状況でない限り、不可能と考えて差し支えないぐらい、現実には難しいです。
かんたんログインにまつわる話は、下記の記事がまとまっていると思います。
【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル
・公開されるIP帯域からのアクセスで、偽の端末からかどうかの立証は不可能なのか
サイト運営側からは不可能。
さらに言えば技術的にはIPアドレスの詐称も可能なのでこれを前提とする議論は危険。
(実際にどの程度起きうるかは別として)
これらの公開されるIP帯域にはガラケー以外にiPhoneやPCなどのUA偽装できる端末が侵入する可能性があるか
うろ覚えで申し訳ないが、確か Softbank でそういう事例があったかと。
iPhone のAPNを変更してアクセス、だったとおもう。
・これらのIP帯域以外からガラケーがiモードなどのサービスより携帯向けwebにアクセスすることはあるか
数は少ないがある。
日本通信のIPアドレス帯域を教えてください。
iモードブラウザ、フルブラウザともに以下のアドレスになります。
202.32.159.240/28
あとはアプリ版フルブラウザの類は基本的に、アプリ提供のプロキシ経由で各サイトに接続する形態となる。
(たいていの場合アプリからの直接通信は禁止されているため)