iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される:モバイル – CNET Japan

今回ニュースになった問題点は、2009年5月以降に発売した端末に搭載されている「iモードブラウザ2.0」にて対応した「JavaScript機能」と、DNSリバインディングという手法を用いて不正アクセスが可能になってしまうとのこと。
なお、「iモードIDによるかんたんログイン、あるいはセッション管理」を行っている場合にのみ発生する脆弱性だそうだ。

FOMAにはSIMカード（FOMAカード）にも固有の製造番号があり、こちらで簡単ログインを実装している場合には発生しないとのことだが…。

そもそも必要なのかどうか、セキュリティとユーザビリティを天秤にかけて考えた結果なのか、その点は前回のエントリーに書いたのでここでは割愛。

今回は、「簡単ログイン機能は便利かもしれないが、その仕組みについて再考が必要なのではなかろうか」ということについて提案したい。

ごく一般的なログインフォームであれば、
１）ユーザ毎にユニークな「ID」と
２）その人だけが知る鍵＝「パスワード」を入力し、
その組合せが一致した段階で初めてログイン成功、となる。

簡単ログイン機能では、この「ID」と「パスワード」の組合せを携帯電話固有番号で置き換えている。
これはあまりに信用しすぎではないだろうか、と思う。
携帯電話固有番号が担える役割は「ID」の部分だけなのでは？
せめて簡単ログイン機能でも「パスワード」の入力は必須、とかにしたらダメなんだろうか？
それだけでユーザビリティは下がりまくって会員数が激減して売り上げが落ちる、と言われるなら仕方ないが、ほんとにそうなのか？？

まぁそれでも脆弱性は発生すると思いますが、携帯電話を紛失したときなどのリスクを考えても、随分マシになるのではないだろうか？

ヘタレSEの一意見にすぎませんが…

是非皆様のご意見を頂きたい。
もしよろしければコメント欄に一言残してくださると幸いです。

「iPhone」「個体識別番号」で検索してくる方が多いので、続きの記事を書いてみる。

私の経験は、WEBサイトの「簡単ログイン」機能で個体識別番号を利用していたためにiPhoneやスマートフォンに対応できなかったというもの。

その解決策になりそうなのが、cookieを使った処理。

こちらのサイトで解説されてました。

携帯電話の「簡単ログイン」は個体識別番号を使ってこんなふうに作れます｜WEBクリエイターの木

簡単にまとめると、
１）初回ログイン時にcookieに個体識別番号を書き込む
２）次回以降はcookieの情報を利用する
ということです。
このやり方はPC向けのサイトで見かけますね。

問題点としては、
・ユーザ自身がcookieを削除した場合にログインできなくなる。
・cookieが古くなって自動的に削除されてしまうとログインできなくなる。
ということ。

やはり完全な回避は難しいと思われます。

今後の可能性ですが、MACアドレスを利用するということも考えられるかもしれません。
ブラウザの対応が必要ですので、まだ現実的な方法とは言えないですが。

何かいい方法をご存知の方がいらっしゃったら是非コメントお願い致します。