KDDIのauサービス対応端末におけるREFERER漏れ

一部で話題になっているのですが、KDDIの携帯電話サービスau向けの携帯電話端末の一部において前回アクセスしていたサイトのURLを他サイトにREFERERとして漏らしてしまう不具合が発覚しています。例えばインプレス社のWebマガジンであるケータイWatchでは「auのGPS搭載端末にアクセス先のURLをサーバーに渡すバグ」という記事で伝えています。しかし、同記事によればKDDIは〝また、「特に報道発表やホームページ上での告知は行なわない」としている。〟とのことで一切発表は行わないつもりのようです。この対応は本当に適切といえるのでしょうか? 私としてはそんなことはないと思います。

携帯電話端末は現在のところクッキー(Cookie)をサポートしていないため、セッション管理はURLを用いて行わざるを得ない側面もあります。KDDI向けのezwebサービスに関しては必ずしもそうはいえないものの、一般のフレームワークを使用する限りはこのような仕組みになってしまうことも多々あることも事実です。そのURLがもれることによって、(サイトの出来の良し悪しやタイミングにもよりますが)個人情報がもれる危険性があるのも確かなことなのです。このことから、少なくとも危険性があることだけは告知すべきではないかと思います。告知されなければユーザーは身を守ることもできません。どんなに細かいセキュリティ上の不具合であっても、情報公開がきちんとなされることを望みたいと思います。これはKDDIに限らず、他のキャリア、他のベンダーに対してもです。

今からでも遅くはありません。KDDIは告知を行うべきだと筆者は考えます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です