2010-03
09
21:31:05
docomo ID認証が怪しげすぎる件


NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に

「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。
ポイントはこの3つ。

・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど
・iモードIDとUser-Agentを取得できる
・iモードID 取得はAXでもSREGでも無い独自仕様

つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにしておくと、iモードIDが続々と入手可能になると。ケータイ勝手サイトだけでなく、PCサイトでも堂々とiモードIDが収集できるようになったわけだ。

iモードIDの簡単ログインの問題が話題になっているのは「とある方法で何とかiモードIDを詐称できれば」簡単ログイン対応サイトで不正アクセスが出来てしまうから。なのだけどiモードIDをこうも簡単に取得できるのなら、この方法さえも要らなくて「他にiモードIDを簡単ログインに送り込める方法があれば」簡単ログインサイトの仕様によっては恒久的にセッションを乗っ取ることも可能だろう(セッションIDとしてiモードIDをそのまま使用していた場合など)。
またiモードIDは契約者ごとに固定なので、複数のサイトで「名寄せ」をして完全な個人情報をまとめ上げることも懸念されている。
更にiモードID取得をAXでもSREGでも無い独自プロトコルにしているのは何故だろう。ここは明快な理由が思いつかない。

ありがちなシナリオとしては、例えば僕のような個人でも、docomo ID対応のサイトを作ってブログのコメントやちょっとしたサービス登録をする上でPCのメールアドレスや生年月日、性別ぐらいは簡単に登録してもらえるだろう。ケータイサイト運営だけでは入手しにくい情報もPCサイトと組み合わせることで名寄せをしてより単価の高い個人情報が生成可能になる。なんと素晴らしい!
PCの世界でOpenIDと言えば、Yahoo!やmixiなどのID/パスワードが使える程度の印象しか一般ユーザーは持っていないはずだ。しかし使い方によっては自分のケータイ機種まで知られてケータイでの情報が筒抜けになる、あるいは可能性があることを伝えずに使わせることは、これはもうほとんど詐欺みたいなものだろう。
(因みにYahoo!のOpenIDではLocal Identifierしか取得できない。これは無意味なランダム文字列みたいなものだ。mixiはニックネームは取得できるが、もちろんメールアドレスなどは取得できない。なので名寄せに利用するには敷居が高い)

docomoからすれば、これだけ世に広まっているケータイ認証や決済をPCの世界にも広めたい意図なのだというのは容易に想像できる。しかしこれだけ脆弱性が心配されている「(日本の)ケータイ世界だけの常識」をPCにも広げようという「技術者としての良心」が理解できない。

OpenIDを活用するのならば、ケータイでのOpenIDが利用しにくいことが問題になっているのだから、docomoこそが率先してケータイ端末でのOpenID対応を推し進めるべきではなかったか。現在のiモード認証の限界を超えてよりセキュリティ的にもユーザーへのメリットにも大きな収穫があるはずだし、それが社会の公器として、業界の雄としての役割であろう。

願わくは、ケータイサイトしか知らない「ケータイ脳」の会社がケータイサイトのノリでとんでもないPCサイトを量産しないように、心から願う。

20 thoughts on “docomo ID認証が怪しげすぎる件

  1. ピンバック: Hiroyuki KUROSAWA
  2. ピンバック: Yoshiyuki Nakamura
  3. ピンバック: Masanori Inoue
    1. http://takagi-hiromitsu.jp/diary/20100221.html
      この辺もいいかも。
      http://d.hatena.ne.jp/ockeghem/20090714
      http://takagi-hiromitsu.jp/diary/20080727.html

      悪意あるケースやエラー(?バグ?)ケースを前提にした話をしているので(と言うか世間ではそれが大勢と見なしているかも知れませんが)、ノーマルなケースでは反論にならないと思います。
      ただ、ケータイWEB開発をされている方のようなので(意味が無くても)一言言っておきたいという気持ちはわからないでもないです。

  4. 携帯サイトにPCからアクセス出来ないかと考えている者です。
    携帯を定額制にすればいいのですが、金額的にもったいないので、PCからアクセスしたいのです。

    ネットで調べると、UA偽装でできる、との情報を得ましたが、無理でした。
    携帯サイト開発者向けの携帯ブラウザも試しましたが、駄目でした。
    それらしいプロキシを見つけて、IP偽装もしましたが駄目でした。
    (偽装したつもりであって、ほんとにIP偽装できたのかは不明)

    あとは、パケットヘッダの可能性があると思うのですが、情報がありません。
    確かに携帯ブラウザにそれらしい設定があるのですが、何を記述すればいいのかさっぱりです。
    また、他に私が全く気づかない何かがあるのかもしれません。

    なにかアドバイスがあれば教えてください。

    ブログの記事からすると、管理者さんは詳しい方だと思うので、ここで質問させていただきます。
    定額制の普及により、一般的には需要の無い話ですが、よろしくお願いします。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください