「キャリア」タグアーカイブ

2013-09
04
06:44:48
ワンタイムパスワードの送付先にケータイメールは相応しくない


近年大手のWEBサービスも含めて所謂リスト攻撃などで不正ログインが多発するなどしており、一躍注目を集めているのが二要素認証(二段階認証)だ。通常のユーザーID/パスワードでの認証に加えて、その一時にだけ有効なワンタイムパスワード(OTP/One Time Password)を発行しこれも一致しないとログインを認めない方法である。
このワンタイムパスワードの発行方法またはユーザーへの送付方法には幾つかのパターンがある。
最も「厳しい」物理的なハードウェアトークンをユーザー毎に配布して表示される番号をワンタイムパスワードとして入力する方法(Paypalでの例)や、より簡易にスマホなどのソフトウェアでワンタイムパスワードを確認できる方法(有名なソフトウェアとしてはGoogle Authenticatorなどがある。但しサービスがこれらのソフトへ対応していないといけない)のほか、もっとも一般的には「ユーザーが別途指定したメールアドレスへワンタイムパスワードをメールする」方法がある。

ワンタイムパスワード自体は二要素認証のためだけの方法でも無い。ログイン時だけでは無く、例えば銀行サイトで他口座への振込などの資金移動をする際にワンタイムパスワードの設定をしていなければ操作できなくしている銀行も多い。これもまた近年高まっているセキュリティ保護の機運を反映したものだろう。

最近ではスマホなどモバイル環境の一般化によってか、「メールアドレスへのワンタイムパスワードの送付」パターンの場合にはPC用メールアドレスでは無く「ケータイメール」(すなわち携帯キャリアが提供しているメール)への送信を強く要請してくるようになった。
例えば三菱東京UFJ銀行や楽天銀行では最近になって「携帯メールでの登録」を勧める旨の記載が増えた。

三菱東京UFJ銀行 / インターネットバンキングのログイン時の本人確認方法を一部追加します。(平成24年2月12日(日)より)

楽天銀行 / セキュリティ強化のためのワンタイム認証のルール変更について

一方以下はGoogleでの二要素認証設定時の様子だ。ワンタイムパスワードの取得方法としてGoogle Authenticatorを使用することも出来るが、デフォルトではこのように各携帯キャリアのメールアドレスを指定することになっており、設定後は信頼できない端末からのログインの際はこのアドレスへワンタイムパスワードが送られる。

スクリーンショット 2013-08-02 5.19.49

前述の通り幾つかのバリエーションはあるものの、これらの例のように近年ではワンタイムパスワードは「ケータイメール」へ送付することが大変一般的になってきたと感じるし、実際多くの方がそのようにされているのでは無いだろうか。

しかしながらPCメールなどよりも「ケータイメール」をワンタイムパスワードの入手元とすることは果たして「より安全」な方法だろうか。

Continue reading

2011-11
10
09:28:59
日本のパケット通信料(単価)が馬鹿高すぎる件


先日、auのiPhoneで店側がデータ定額(ISフラット)を契約時に付け忘れとてつもない額が請求されてきたという話があった。その額なんと395万9160円。

auのiPhoneにしたらパケ代400万円も請求された!

その後交渉によりISフラットと同額の4980円になったようだが、たった一ヶ月にも満たない期間で(しかも恐らくは通常の利用で)400万にも達する料金体系にも驚きだし、そもそもそれだけの利用料金が定額サービスに加入するだけで5000円程度になってしまう仕組みにも驚きだ。

何故このようなことが起こりえるのかと言えば単純に「日本のキャリアでのパケット通信料=パケット単価は恐ろしく高い」からだ。それが問題にならないのは単にパケット定額サービスを別に設けてユーザーにはほぼ例外なく加入させているからだけに過ぎない。
では果たして海外と比べてどれぐらいの内外格差があるのか?というのが本稿の趣旨だ。

Continue reading

2010-11
28
05:22:27
Appleは本当に垂直統合なのか – 日本の携帯キャリアとの違い


よく「日本の携帯キャリア構造を垂直統合と言われるがAppleこそ垂直統合ではないか」「Appleは日本のケータイ業界を参考に垂直統合戦略を組み立てた」などという人がいる。
しかし個人的には果たして日本のキャリア構造とAppleの戦略を同一視し、更にはそれを理由に日本のキャリア構造について肯定的に捉える(または言い訳に使う)論法には反対だ。
また更にはそれをして「勝てば官軍、負ければガラパゴス」とまで拡大解釈する向きもあるようだ。
ここではその「Appleこそ垂直統合・ガラパゴス」主張について反論をしてみようと思う。

Continue reading

2010-05
23
13:08:37
「ガラパゴス・ケータイ」と呼ばせたくない人々


時々このネタがTwitterのTLで流れてくるので。
よくスマートフォンに対して、「ガラパゴス・ケータイ」「ガラケー」と従来の日本のケータイを呼ぶべきではない、と主張する人たちに出くわすことがある。曰くその理由は「従来の日本ケータイへの蔑視だ」「語源のガラパゴスは単なる地名なので言葉として相応しくない、失礼だ」などというものだ。
しかしそうした主張に違和感を僕は感じるしそうした人々は本質論が得てして出来ていない。

「ガラパゴス」という言葉がささやかれ出したのはいつ頃からだったか。
僕もはっきりした記憶は無いが恐らく使われ出したのは三年ほど前からだったのではないか。
これもはっきりしないが、僕自身の感触では当時海外製携帯電話を国内に持ち込んで好き好きに弄っていたユーザー層が自分たちで持ち込んだ携帯を様々な制限で自由に利用させない日本の携帯環境と、かなり自由度の高い海外の環境の差にあきれて、外界と途絶したという意味で「ガラパゴス」と呼び出したのが最初ではなかったか。
元々そこには「日本国内で独自に異常進化した」といういい意味は含んでいなかったような気がするが、それは他の人々が語源の意味や「日本の携帯の進化具合は素晴らしい」と考える人々によって 後から追加されたように思う。

「ガラパゴス・ケータイ」や「ガラケー」はそういう意味では自国環境を憂いた自虐的な「蔑称」であろう。しかし何故それを使ってはいけないのか、自己規制・自粛しなければならないのか、さっぱり分からない。
何故ならそれほどまでに日本の携帯環境は非難され問題化されなければならない点を含んでいるからだ。

垂直統合モデルによる業界ぐるみのカルテルとも言える仕組みは競合他社を結果的に排除し競合の参入を阻んでいる。キャリア各社はこうしたモデルの崩壊を恐れ、結果的に自由度が低く競争が発生せず消費者に不便を強いている。
契約者識別IDに代表されるようなセキュリティやプライバシー問題の存在もある。10年の昔の時代遅れの技術が未だに購買モデルという重大な箇所に使用され続け、問題点や脆弱性を常に指摘されながらキャリア各社は頬被りをして問題解決のそぶりさえ見せない。
強制的なSIMロックやアクセスポイントを意識的に隠蔽しユーザーに自由に端末を使わせず全ての利用を自分たちの管理下に置きユーザーの利用の自由を阻害する。
など。

「ガラパゴス・ケータイ」や「ガラケー」とはこうした問題点を明確に言い表すための素晴らしい「発明」であったと今となっては感じている。まさしく如何に日本は多くの海外事情に比べて「異質で消費者を馬鹿にしているか」を示す名ワードである。
そういう思いがあるから僕は 「ガラパゴス・ケータイ」「ガラケー」を積極的に使う立場だ。

一方で「ガラパゴス・ケータイ」や「ガラケー」を使うべきでない、と訴える人々は上記をどう捉えているのだろう。
僕には知る由もないが、仮に問題点を理解せずに「蔑称は使うべきではない」という耳障りのいい話に流されているのだとしたら、ぜひ上記の問題に触れて自分でどうあるべきかもう一度考えてみて欲しい。
ガラパゴスと呼ばれる垂直統合モデルがどんな問題を引き起こしているか、拙作で恐縮だが以前こんなエントリーを上げたことがある。問題の一部かも知れないが概要は理解できるはずだ。
契約者識別IDは利用者のプライバシーを蔑ろにし今日では全く歓迎できるものではないが未だに日本の携帯業界は採用を続けている。海外ではこのような方式はほぼ採用しておらずまさしくガラパゴスな好例である。問題点については(技術的な部分が多いが)高木浩光氏の有名なエントリーに詳しい。
SIMロックやアクセスポイントの問題については数多くの問題点を指摘したエントリーがネット上にはあるので検索して欲しいが、拙作ではアクセスポイントについてこのようなエントリーを上げたことがある。

問題は上記を知りつつそれを隠し、本質を見せないようにしつつ言葉狩りに走っている人々だ。
それが誰なのか、とは言わない。しかし昨今の議論の中ではこうした問題点には全く触れずただ言葉狩りを訴えているだけに見える人も多くみかける。
それがキャリアやメーカーの人間であればある程度の理解は出来る。自分たちの立場も踏まえた上での発言であれば、ある程度のポジショントークもやむを得ない面はあるだろう(それでも健全に素直な議論をお願いしたいものだが)。
しかし一部のライターと呼ばれたり自称”ジャーナリスト”な人々についてはどうだろう。
上記のような論点を知らないのだとすれば全く持って勉強不足だし、キャリアやメーカーにおもねて「言葉狩り」に走るのだとしたら論外だ。

我々消費者としては言葉狩りに惑わされる必要はない。言葉は生き物だしここまで広まった言葉を否定する必要もない。「それが失礼だ」というのなら、何が何に対して失礼なのだろうか。消費者がキャリアやメーカーに何を気を遣う必然性があるのか。消費者とは独善的なまでに消費のための要求を行うべきなのだ。
それよりもぜひ気を付けて欲しい。本質に気付かれたくない人たちは常にいつの時代でもこうした些細な問題に目を向けさせ本質論を阻もうとすることに。
小さな問題に気を取られてより大きな問題を見誤ってはいけないことに。

2010-04
28
06:55:51
日本のケータイWEBはどうしてこんな仕様になったのか


また高木さんが恐ろしい記事を上げている。
これまでも日本のケータイWEBの問題点は様々な人に数々挙げられてきたが、この記事の指摘は中でも最大のターニングポイントになるだろう。
ここまで破綻しているケータイID認証(簡単ログイン)
実はこの記事での指摘点には個人的にも言及したい点があるのだけど、ちょっと理由があるのでそれはまた後日にしたい。それは恐らくこの記事だけから受ける印象よりも実はこの問題はひどく根が深く影響は幅広いということだ。

日本のケータイWEBの有様は特徴的だ。特に技術的な立脚点によるものが大きいと思うが、それが「ガラパゴス」と呼ばれるゆえんであることはまず間違いない。特異な技術立脚点が海外や他キャリアとの互換性を蔑ろにし、独自な進化をせざるを得なかった(独自に進化したのではなく、せざるを得なかった点に注意)ということだ。

ではその「技術立脚点」とは何か。
僕は個人的には「パブリックなインターネットをインフラにしてクローズドなケータイ・ネットワークを作り上げること」を主眼にした点だと考えている。
以前モバツイで有名なえふしんさんがこんなことを言っていた。

http://twitter.com/fshin2000/status/9612891626
もろもろセキュリティのことまで考えると、携帯サイトはガラパゴス(国内で閉じてる)の方が良いんじゃないかなぁ。

個人的にも以前から感じていたことでほぼ同意である。
というか、そもそもケータイWEBネットワークはもともとここまでの興隆を予想して組み立てられていないのだと推察する。

以前挙げた日本のケータイWEB(モバイルEC)を脆弱に支えている三原則を再掲する。

(1) そのアクセスがそのキャリアの携帯網からのみであることをサービスプロバイダーが保証すること
(2) 携帯網では端末IDが偽装されていないことをキャリアが保証すること
(3) 端末の自由度を低くして端末IDの偽装などの可能性をできるだけ低く保つこと

これはつまり大前提として、ユーザーがこのケータイWEBに介入できるのはケータイ端末の「操作」までであって、自由な端末やアプリをケータイネットワークに接続することは想定していないということだ。
これは恐らくこういう事だったのではないだろうか。
そもそも一番最初にケータイWEBを企画する際にインターネットへの接続を行うことは当然MUSTだった。つまりインフラとしてはインターネットをそのまま利用すると言うことだ。またサービスプロバイダーを引きつけるためにはお金を生む仕組みを用意しなければならない。契約者固有IDのような課金通知の仕組みは必須である。
しかし当時セキュリティという観点ではPKIなどの完全なセキュリティ手法の導入には手間もかかり端末の性能も限られている。しかし何も行わなければインターネットという性質からはなりすましや情報漏洩はほぼ防げない。
そこで「簡単に」ケータイ側を「セキュアに」保つために先の三原則が考え出された。
つまり契約者固有IDを守るために「端末」「回線」「データ」をインターネット上からできるだけ切り離しその中にもう1つの「クローズド・ケータイネットワーク」とすることでこれら情報を守ろうという試みである。
IPアドレスでの制御であったり端末への独自アプリの禁止などといった稚拙な方法であり全くレベルは異なるが、「安直なVPN」とでも思えばいいのかも知れない。
当時今ほど日本は垂直統合モデルは強くなかったと記憶しているが、そのために端末仕様を強制したり一部のサービスプロバイダーを公式サイトと認めて契約者固有IDの取り扱いをキャリア支配に置くなど、必然的に垂直統合モデルが必然となった。

どうだろう。これは想像でしかない。しかし一定の説得力のある仮説にもなっていないだろうか。

しかし当然時代が変われば状況も変わる。高木氏が指摘したポイントも当時は想定されなかった技術的な変化故だし、またSIMフリー化の流れも微妙なプレッシャーを与えつつあるかも知れない。
ケータイWEBが変わったのではない。周りの環境が変わったのだ。一理ではだからこそケータイWEBはこのままでは変化は起こせないだろうとの諦めもある。一方で、まず間違いなくいつの日にか莫大な被害を及ぼしながら日本のケータイWEBビジネスが信用崩壊する危険性は日に日に高まっているとも言える。

だからこそえふしんさんの主張も説得力を持つことにもなる。
では現状ケータイWEBはどうあるべきなのか。
まず第一に契約者固有IDの送出先は各キャリアの認める公式サイトだけにすること。勝手サイト、すなわち「クローズド・ネットワーク」以外への送出は一切禁止とする。契約者固有IDのような「インターネット標準」ではないID送出を勝手サイトなど公式サイト以外に送出してはならない。
次に公式サイトはキャリアネットワーク(ゲートウェイ)とVPNなどのインターネット標準のセキュアな接続を行うことを必須とする。そしてこの場合のみ契約者固有IDを送出することにする。これは通信を秘匿する/通信先を限定するという意味もあるが契約者固有IDの送信先を各キャリアと限定的な「クローズド・ネットワーク」に閉じ込めてしまうという意味もある。これにより現行のあいまいなクローズド・ネットワークよりもより強固なクローズド・ネットワーク化により契約者固有IDは守られることになる。
第三に公式サイトはキャリアネットワークのVPN接続以外からの接続を受け付けてはならない。つまり通信は完全にクローズド・ネットワーク内に閉じ込めるようにする。
これらより詐称や偽装という問題は(データや処理を正しく取り扱える限り)ほぼ回避できるはずだ。

しかしこのままでは今より使い勝手が落ちユーザークレームももちろん増えるだろう。上記は現状の「ガラケー機」つまり契約者固有ID送出可能な従来の端末または携帯網用のアクセスポイント接続時に限ることにする。上記はすべてネットワークサイドのポリシー変更で可能なのでこれまでの端末はそのまま使用可能だ。
一方でスマートフォンに代表される、契約者固有IDに頼らない新しい認証や課金方式にWEB標準として対応可能な端末とアクセスポイントへの接続を共存させる。こちらは接続先には制限は設けなくてよい。何故なら純粋なインターネット利用端末に過ぎないからだ。そして時間をかけてこちらの方式への移行を促すことにする。

二方式を併存することは新方式への移行を促す期間のモラトリアムであると同時に、 自由競争を作り出す規範ともなるだろう。また明確なクローズド・ネットワークと位置付けることで、例えば未成年者用の端末はクローズド・ネットワーク対応のみとすることで例えば公式サイトしか接続できないような「キッズ・ケータイ」も可能になるかも知れない。

さて、これらのことは絵空事だろうか。全くの杞憂に過ぎないフィクションですむ話だろうか。
その答えは高木氏の指摘の行間に実は潜んでいると思っているが、その話はまた後日・・・(にできるといいなぁ。。)