2010-03

21:31:05

docomo ID認証が怪しげすぎる件

「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。
ポイントはこの3つ。

・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど
・iモードIDとUser-Agentを取得できる
・iモードID 取得はAXでもSREGでも無い独自仕様

つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにしておくと、iモードIDが続々と入手可能になると。ケータイ勝手サイトだけでなく、PCサイトでも堂々とiモードIDが収集できるようになったわけだ。

iモードIDの簡単ログインの問題が話題になっているのは「とある方法で何とかiモードIDを詐称できれば」簡単ログイン対応サイトで不正アクセスが出来てしまうから。なのだけどiモードIDをこうも簡単に取得できるのなら、この方法さえも要らなくて「他にiモードIDを簡単ログインに送り込める方法があれば」簡単ログインサイトの仕様によっては恒久的にセッションを乗っ取ることも可能だろう(セッションIDとしてiモードIDをそのまま使用していた場合など)。
またiモードIDは契約者ごとに固定なので、複数のサイトで「名寄せ」をして完全な個人情報をまとめ上げることも懸念されている。
更にiモードID取得をAXでもSREGでも無い独自プロトコルにしているのは何故だろう。ここは明快な理由が思いつかない。

ありがちなシナリオとしては、例えば僕のような個人でも、docomo ID対応のサイトを作ってブログのコメントやちょっとしたサービス登録をする上でPCのメールアドレスや生年月日、性別ぐらいは簡単に登録してもらえるだろう。ケータイサイト運営だけでは入手しにくい情報もPCサイトと組み合わせることで名寄せをしてより単価の高い個人情報が生成可能になる。なんと素晴らしい！
PCの世界でOpenIDと言えば、Yahoo!やmixiなどのID/パスワードが使える程度の印象しか一般ユーザーは持っていないはずだ。しかし使い方によっては自分のケータイ機種まで知られてケータイでの情報が筒抜けになる、あるいは可能性があることを伝えずに使わせることは、これはもうほとんど詐欺みたいなものだろう。
(因みにYahoo!のOpenIDではLocal Identifierしか取得できない。これは無意味なランダム文字列みたいなものだ。mixiはニックネームは取得できるが、もちろんメールアドレスなどは取得できない。なので名寄せに利用するには敷居が高い)

docomoからすれば、これだけ世に広まっているケータイ認証や決済をPCの世界にも広めたい意図なのだというのは容易に想像できる。しかしこれだけ脆弱性が心配されている「(日本の)ケータイ世界だけの常識」をPCにも広げようという「技術者としての良心」が理解できない。

OpenIDを活用するのならば、ケータイでのOpenIDが利用しにくいことが問題になっているのだから、docomoこそが率先してケータイ端末でのOpenID対応を推し進めるべきではなかったか。現在のiモード認証の限界を超えてよりセキュリティ的にもユーザーへのメリットにも大きな収穫があるはずだし、それが社会の公器として、業界の雄としての役割であろう。

願わくは、ケータイサイトしか知らない「ケータイ脳」の会社がケータイサイトのノリでとんでもないPCサイトを量産しないように、心から願う。

このブログで関連するかも知れない投稿

Check

Posted by ROCA
トラックバック: http://blog.rocaz.net/2010/03/850.html/trackback
Tags: Docomo, iモード, OpenID, ドコモ
カテゴリ: 技術ネタ
Comment feed

Category

匿名より:

2010年5月9日 12:48

分かりにくい。

返信

薫平blog » Blog Archive » 2010年3月18日薫平のブックマークより:

2010年3月19日 01:03

[...] ・開発用 Firefoxの拡張機能を各バージョンに互換するカンタンハック web制作者のための2009年話題になったサービスいろいろ 10 sql tips to speed up your database docomo ID認証が怪しげすぎる件 [...]

松本　とむより:

2010年3月14日 19:41

酷い話Docomo IDが抜かれちゃう＞＜ from Tentative name. B! http://blog.rocaz.net/2010/03/850.html

tzmtk_favs より:

2010年3月14日 10:54

openidretweeter: RT: 「docomo ID認証が怪しげすぎる件」 http://blog.rocaz.net/2010/03/850.html... http://ff.im/-htcNY

openid_retweeter より:

2010年3月14日 09:02

RT: 「docomo ID認証が怪しげすぎる件」
http://blog.rocaz.net/2010/03/850.html
「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多… http://bit.ly/bAeApC

つるき　まさのぶより:

2010年3月14日 08:14

「docomo ID認証が怪しげすぎる件」
http://blog.rocaz.net/2010/03/850.html
「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。、、、

中野キネマより:

2010年3月14日 00:35

docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ] http://blog.rocaz.net/2010/03/850.html

2010年3月13日 16:19

RT: 『docomoがOpenIDに対応した』件か（知らなかった）。PCサイト向けに穴が開いたような印象。また読み返そう。 > docomo ID認証が怪しげすぎる件 http://bit.ly/aMj8A9 [鉄は熱いうちに… http://bit.ly/daSEGo

エド @ Flex 3 の応接間より:

2010年3月13日 15:37

『docomoがOpenIDに対応した』件か（知らなかった）。PCサイト向けに穴が開いたような印象。また読み返そう。 > docomo ID認証が怪しげすぎる件 http://bit.ly/aMj8A9 [鉄は熱いうちに打て]*Tw

Hiroyuki KUROSAWA より:

2010年3月13日 14:09

RT @HiromitsuTakagi RT @bgvillea: 携帯まわりのWEB事情ほとんど知らなかったけどこれと関連エントリ読んで興味湧いた。ガラパゴスこええ　docomo ID認証が怪しげすぎる件 http://bit.ly/dx6TH2

Yoshiyuki Nakamura より:

2010年3月13日 09:04

RT @bgvillea: 携帯まわりのWEB事情ほとんど知らなかったけどこれと関連エントリ読んで興味湧いた。ガラパゴスこええ　docomo ID認証が怪しげすぎる件 http://blog.rocaz.net/2010/03/850.html

Masanori Inoue より:

2010年3月13日 02:48

水無月より:

2010年3月12日 15:32

このコメントは移動しました
http://blog.rocaz.net/2009/12/762.html/comment-page-1#comment-2270

links for 2010-03-10 « 個人的な雑記より:

2010年3月11日 07:07

[...] docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ] (tags: authentication docomo) [...]

『docomo ID認証が怪しげすぎる件』が怪しすぎる件 « てっく★ゆきろぐ Rev2 より:

2010年3月10日 23:31

[...] 、あきれる記事がまことしやかに信じられてて、げんなりなんだけど。 docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ] はてなブックマーク – docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ] [...]

ROCA より:

2010年3月10日 23:55

つ http://takagi-hiromitsu.jp/diary/20100221.html
この辺もいいかも。
http://d.hatena.ne.jp/ockeghem/20090714
http://takagi-hiromitsu.jp/diary/20080727.html

悪意あるケースやエラー(?バグ?)ケースを前提にした話をしているので(と言うか世間ではそれが大勢と見なしているかも知れませんが)、ノーマルなケースでは反論にならないと思います。
ただ、ケータイWEB開発をされている方のようなので(意味が無くても)一言言っておきたいという気持ちはわからないでもないです。

返信