KDDI – 業務改善コンサルティング情報ブログ

＋メッセージに盗聴等の脆弱性

Shingo Takahashi — Wed, 03 Oct 2018 18:03:52 +0900

NTTドコモ、KDDI（au）、ソフトバンクの携帯大手3社が今年の5月にスタートさせた、携帯電話番号だけでメッセージを送受信できるサービス『＋メッセージ』において脆弱性が見つかっていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の4月と6月にこのブログでも取り上げた『＋メッセージ』ですが、ある脆弱性が見つかっていたようです。

（4月の記事：＋メッセージはSMSとは別もの）

（6月の記事：＋メッセージの使用には要注意）

＋メッセージにおける盗聴等の脆弱性

9月27日、IPA（独立行政法人情報処理推進機構）とJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）から『＋メッセージ』に関する脆弱性情報が公開されました。

＜概要＞

スマートフォンアプリ「＋メッセージ（プラスメッセージ）」には、SSL サーバ証明書の検証不備の脆弱性が存在します。

想定される影響

中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。

＜影響を受けるシステム＞

【NTTドコモ】
・Android アプリ「＋メッセージ（プラスメッセージ）」 42.40.2800 より前のバージョン
・iOS アプリ「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

【KDDI（au）】
・Android アプリ「＋メッセージ（プラスメッセージ）」 1.0.6 より前のバージョン
・iOS アプリ「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

【SoftBank】
・Android アプリ「＋メッセージ（プラスメッセージ）」 10.1.7 より前のバージョン
・iOS アプリ「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

＜対策方法＞

最新版へのアップデート

ちなみに、この脆弱性の報告者は『LINE株式会社』の方であったそうです。

＋メッセージはSMSとは別もの

Shingo Takahashi — Wed, 11 Apr 2018 11:32:20 +0900

NTTドコモ、KDDI（au）、ソフトバンクの携帯大手3社は、2018年5月9日から新たなメッセージサービス『＋メッセージ』をスタートさせることを発表しました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、NTTドコモ、KDDI（au）、ソフトバンクが共同で発表した新メッセージサービス『＋メッセージ』、従来のSMS（ショートメッセージサービス）の機能を大幅に刷新するものであることは間違いないですが、それに代わるものではありません。

新しく、別のものとして提供されるものです。

＋メッセージとSMSの違い

＋メッセージとSMSの違いをまとめると以下のようになります。

	＋メッセージ	SMS
送受信（やりとり）	携帯電話番号	携帯電話番号
ユーザー登録	不要	不要
料金	パケット通信料はかかる	1通3円の通話扱い
文字数	最大全角2730文字	最大全角70文字
写真・動画	〇	×
専用スタンプ	〇	×
グループメッセージ	〇	×
音声メッセージ	〇	×
地図情報	〇	×
音声通話	×	×
相互での送受信	現時点においては無し

という感じになります。

ちなみに、『打倒LINE！』とされている相手側のLINEは、ユーザー登録は必要であるものの、文字数は最大全角1万文字で通話機能も有していることが＋メッセージとの違いになります。

さて、ここで少々疑問なのがSMSとの相互における送受信が現時点においては無いことです。

音声通話に関してはLINEにだけありますが、昨今の『通話定額』を想定すると通常の電話機能を使えばよく、パケット通信に関しても『データ定額』が3社共通して提供されていることからも問題はありません。

しかし、唯一ネックとなるのが『SMS』とは別ものになっていること。

例えば、SMSは受信のみ使用で送信は使用しないという設定はないため、SNSなどの2段階認証などにてSMSを受信専用で使っている人でも、相手がSMSで送信してきた場合にはそのままSMSで返信してしまうことが結構あります。

その場合、細かい話しではありますが、微妙にコストが別途必要になるということになります。

では、これは技術的に解決できないのか？

理論上は可能です。

ただし、逆に言えば、それを無くしてしまうことで携帯キャリアの収入源が減少することと、それを可能にすることで投資効果がどれくらい見込めるのかによるでしょう。

フィーチャーフォンとの送受信（やりとり）に関しては考慮を入れればクリアできるでしょうから、それよりは前述の問題の方が大きいのではないでしょうか。

しかし、この状態での『打倒LINE！』は結構ハードルが高いのではないでしょうか。

LINEがこれだけ定着してしまっている以上、そこから乗り換えるユーザーがどれだけ出てくるかは現時点においては疑問が残ります。

大規模ネット障害は装置誤操作

Shingo Takahashi — Mon, 28 Aug 2017 10:39:07 +0900

先週の金曜日、『国内各地でインターネット障害』の記事でも書いた通り、正午過ぎにインターネットの大規模障害が起きていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末に起きたインターネットの大規模障害、問題はGoogleの通信装置の誤操作が原因で、同社はそれを認めて謝罪したようです。

では、いったい何が起きていたのでしょうか？

Googleが犯したミステイク

25日の正午直前、Googleはインターネット回線の接続経路に関する情報を間違った内容が含まれたまま発信してしまったようで、それが原因でインターネットの大規模障害となったようです。

誤った情報は10分程度で正しいものに修正されたようですが、一部では数時間に渡ってインターネットサービスがつながりにくい状況となっていました。

具体的には以下のサービスなどです。

OCN：12時半前頃からインターネットに接続できなくなる

KDDI：同様に接続が不安定になる

上記2つは13時頃までに復旧

楽天証券、メルカリ、LINE：数時間に渡ってつながりにくい状況となった

インターネットはもろい

インターネットは非常に便利なものではありますが、根幹となる経路情報の設定ミスでこれだけの大規模障害が起きます。

もちろん、Googleだけが経路情報を持っているわけではなく、それは複数の通信事業者が持っているわけですが、それらの変更情報は相互に情報伝達される仕組みから成り立っており、どこかの事業者がミスを犯せば簡単に今回のような大規模インターネット障害となってしまいます。

これは流石に我々では対処できない問題ではありますが、インターネットにおいてはそういったトラブルが起きることを予め念頭に置いておく必要はあるでしょう。