■IS01のbcc漏えいバグをIS03で検証する
巷でauの対応が話題騒然となっているIS01のbcc漏えいバグ(docomoのSH-10Bにも有り)について、IS01は所有していないので実機検証することができないのだが、(au,docomoの両機種で発現していることから)SHARPカスタマイズのPCメールアプリバグであろうと推測し、IS03のPCメールでは問題がないかどうか念のため検証をしてみることにした。
検証したIS03のビルドは01.00.01。IS01には簡単に言うと3種類のメール設定実装があり、ひとつはau独自のCメールとEメール(ezweb.ne.jpアドレスを利用)が使えるもの、ひとつはアカウント設定から追加可能なExchangeもしくはGoogle同期用メール、最後のひとつはPCメールアプリから設定するPOP/IMAP対応(Exchange設定も可)のメールとなっている。今回はgigazineで紹介されている記事と同様にYahooメールでbcc漏えいの確認をしてみた。また念のためSMTP通信の内容を確認できるよう手元のCommunigate Proサーバにて同様の実験をしてdumpした送信データの中にbccヘッダがないか確認を行った。利用したPCメールアプリのバージョンは7。
検証結果
1)Yahooメールでのbcc発露無し
2)CommuniGate Pro上のdumpログのSMTP DATA部内にbccヘッダ記述無し
少なくともIS03では同様の問題がないことは確認できた。IS03のPCアプリはバージョンが7とはなっているが、インターフェースを見る限りAndroid標準メールソフトをベースに「PCメール専用」っぽく見えるようにカスタマイズされただけのように見え、SHARPが独自実装したものではなさそうなので結果としては順当ということかもしれない。他所でも解説されたところがあったが、通常メールクライアントソフトはbccで送信する場合、bccヘッダというものをメールサーバに送信する必要はなく、宛先をRCPT TOとしてサーバに渡すだけで良い。メールヘッダとして「敢えて」bccをDATA内に記述するとなると、サーバ側でbccヘッダ行を削除する実装がない限りその内容はメールとして送信されてしまう可能性は高い。メールクライアントがbccヘッダを付けたメール情報をサーバに送信するのに正当な理由があるとすれば、自分が送信したメールの送信控えをサーバの送信済みメールボックスにIMAPやActiveSync等で書き込む時だけだと思われる。
bcc漏えいについては古くからしばしばメールソフトの欠陥として話題になっており、検索してすぐに見つかるのは2004年のOutlook Express6の漏えい事件になる。この問題は現在でもMicrosoftのサポート情報で確認できる。当時利用者も多く当然のようにビジネスで利用されていたであろうMS製メーラの問題が発生条件含めて適切に情報開示がなされていたというのに、auやdocomoは何を持ってbcc漏えいバグの公表を行わないのか理解に苦しむ。利用者が送信を秘匿する目的で能動的にbcc利用しなければ発生しえない問題を公表することが、どのように第3者から悪用可能になるというのか想像力が足りないようで適当な事例が思いつかない。過去に送信していた利用者が問題を知って混乱を来すとか、bccヘッダ探しが始まって問題が顕在化してしまうことで結果的に利用者が困難な状況に置かれうる、ということを心配するならまだわかる。だが、これは本人が知ろうと知るまいと問題が発覚した以上公表を控える理由にはならない。むしろこの件を公表することでキャリア自身にクレームが大量に向けられる(特に悪意を持ってクレームされる)ことを恐れていると捕えられても仕方ないように思う。
auがAndroidに本気で未来を賭けるつもりであるなら、今まさに信頼を獲得するチャンスであるはずなのだが、IS01の2.x系対応を「不可能」と言ってしまったり、不具合の隠蔽ともとれる対応をしてしまったりすることは、真逆の方向を向いており大変残念に思う。LYNXとIS01の関係性において実質的にauがdocomoのスケープゴートになってしまっていることも残念に思う。ユーザがAndroidスマートフォンに期待しているのは、OSの継続的なアップデートだけなく、その努力をする姿勢まで含めたものだと思う。海外ではソニエリがXperiaを2.2やマルチタッチに対応させようと努力する方向性を打ち出したり、HTCはスペックの劣る端末にも2.x系アップデートを提供したり、SAMSUNGは可能な限り最新のOSに対応させていくと表明したりと、企業の姿勢がとても強く打ち出されているのにも関わらず、端末メーカーの前に立って本気でAndroidをやるとしているauがこのような対応をしていたのでは、ますます世界との差が開いていくだけになってしまうのではないかと強く危惧する。折角Androidをマーケティング上重要戦略と位置づけてau復活を打ち出しているのだから、国内サービスを利用可能な端末を使うことが、インターネットを利用するには時代遅れで不適切な端末を使うことになってしまわないよう、何をもって顧客サービスとするのか、Androidマーケットにおいて在るべき姿は何か、ぜひとも信頼回復のため見直してもらいたいと思う。
「bcc漏えいについては古くからしばしばメールソフトの欠陥として話題になっており…」探せば事例見つかるかな。「IS01のbcc漏えいバグをIS03で検証する」 http://blog.isnext.net/issy/archives/596
@riricmame 見つけたけど関係なかった。 http://blog.isnext.net/issy/archives/596