iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される:モバイル – CNET Japan

今回ニュースになった問題点は、2009年5月以降に発売した端末に搭載されている「iモードブラウザ2.0」にて対応した「JavaScript機能」と、DNSリバインディングという手法を用いて不正アクセスが可能になってしまうとのこと。
なお、「iモードIDによるかんたんログイン、あるいはセッション管理」を行っている場合にのみ発生する脆弱性だそうだ。

FOMAにはSIMカード（FOMAカード）にも固有の製造番号があり、こちらで簡単ログインを実装している場合には発生しないとのことだが…。

そもそも必要なのかどうか、セキュリティとユーザビリティを天秤にかけて考えた結果なのか、その点は前回のエントリーに書いたのでここでは割愛。

今回は、「簡単ログイン機能は便利かもしれないが、その仕組みについて再考が必要なのではなかろうか」ということについて提案したい。

ごく一般的なログインフォームであれば、
１）ユーザ毎にユニークな「ID」と
２）その人だけが知る鍵＝「パスワード」を入力し、
その組合せが一致した段階で初めてログイン成功、となる。

簡単ログイン機能では、この「ID」と「パスワード」の組合せを携帯電話固有番号で置き換えている。
これはあまりに信用しすぎではないだろうか、と思う。
携帯電話固有番号が担える役割は「ID」の部分だけなのでは？
せめて簡単ログイン機能でも「パスワード」の入力は必須、とかにしたらダメなんだろうか？
それだけでユーザビリティは下がりまくって会員数が激減して売り上げが落ちる、と言われるなら仕方ないが、ほんとにそうなのか？？

まぁそれでも脆弱性は発生すると思いますが、携帯電話を紛失したときなどのリスクを考えても、随分マシになるのではないだろうか？

ヘタレSEの一意見にすぎませんが…

是非皆様のご意見を頂きたい。
もしよろしければコメント欄に一言残してくださると幸いです。