iPhoneで他人の情報…携帯ID認証に穴(読売オンライン)の記事では,あたかもiPhone固有の問題のように取り上げられているが,ヤマト運輸のニュースリリースによると,今回のトラブルは,携帯版のWebサービスにスマートフォン(の特定のアプリケーション)から(クイックログイン機能を用いて)接続した際に,正しく認証が行えなかったとある為,今回の問題はクライアント側ではなくサーバ側の認証部分の作り込みの問題だと思われる.
一般的な携帯電話向けWebサイトにおける(ログインの際にユーザー名とパスワードの組み合わせを求めない)簡単ログインの実装は,本人認証を携帯電話のハードウェアと結びつけられた固有の個体識別番号を用いて行う.
これにより,初期登録時にユーザー名と個体認識番号が結びつけられていれば,次回以降はユーザーに対して都度ユーザー名とパスワードの入力を求めなることなく,個体認識番号の確認をもって本人だとみなす事が出来る.
しかし,この個体認識番号=本人が通用するのは,個体認識番号がネットワーク上で唯一のものだと信頼できる場合のみである.
この個体認識番号が唯一のものであるという常識が通用するのは,携帯電話の接続するネットワークがクローズドであり,かつ接続する他の携帯電話も同様に改変不可能な個体認識番号を持つ場合のみである.
例えばPCからこのネットワークに接続することが可能であれば,個体認識番号のなりますましを行う事は容易である.
つまり個体認識番号による本人認証のシステムは,ネットワーク上にはキャリアの管理下にある端末しか存在しない=個体認識番号は重複しない,という前提に立っているものだと言うことが分かる.
また,昨今普及しつつあるスマートフォンには,上記個体認識番号と同列に扱うことが可能なIDは存在しない.
しかしながら,スマートフォンではPCのように多種多様なアプリケーションを動作させる事が可能となっており,例えばiPhone向けアプリケーションであるSBrowerは,本来iPhoneには実装されていない個体認識番号を内部で自動的に生成し,それを用いてあたかも日本国内向けに販売されている携帯電話を模して接続を行う.
これにより,個体認識番号が実装されていることを前提に構築されている多数の携帯向けWebに接続し,サービスを受けることが可能となっている(なってしまっている).
今回問題となっている携帯版「クロネコメンバーズのWebサービス」のクイックログイン機能は,個体認識番号の存在が前提となっているため,iPhoneから通常のブラウザを用いてクイックログイン機能を利用する事は出来ない.しかしながら上記アプリケーションを用いることで,擬似的に個体認識番号を利用することが出来,結果としてクイックログイン機能の利用が可能となっている.
しかし,個体認識番号を生成する部分に問題があり,同一の個体認識番号が生成される可能性がある.
つまり,同一の個体認識番号が生成されたSBrowerのユーザーの中で,最初にユーザー情報と個体認識番号を結びつけた人のデータが,後から同一の個体認識番号を持つSBrowerを利用して接続したユーザーに漏洩してしまう可能性を排除できない.
これを,同一の個体認識番号を生成してしまうアプリケーションの問題ととらえたり,このような危険性を内包する非正規のアプリケーションを利用するユーザーの問題ととらえることも可能だが,今回は商用サイトという事もあり,サービス主管であるヤマト運輸側の問題であると思われる.
なぜならば,個人の認証というsensibleな問題を,一般のアプリケーション開発者やユーザーに被せるのは見当違いで,やはりサービスを提供する側が責任を持って正しく認証できるようにするべきである.
今後は,携帯向けWebサイトであったとしても個体認識番号を用いた簡易な実装とせず,通常のPC向けWebサイトと同様にcookieやサーバ側で用意したセッションIDを用いる必要があると言うことである.
個体認識番号が携帯電話本体と結びついていることから,中古で流通している携帯電話を他ユーザーが利用した際の問題も存在する.
また,一般的に利便性と安全性は反比例するものだと思うのだが,どのあたりでバランスさせるのか,そしてそれをユーザーに対してどの程度公開するのかは今後の課題である.
参照
ヤマト運輸の対応について
当事者のコメント
0 件のコメント:
コメントを投稿