以前、簡単ログイン機能ってそもそも必要なのかというエントリーを書きましたが、関連するニュースがありましたので、再考。

iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される:モバイル – CNET Japan

今回ニュースになった問題点は、2009年5月以降に発売した端末に搭載されている「iモードブラウザ2.0」にて対応した「JavaScript機能」と、DNSリバインディングという手法を用いて不正アクセスが可能になってしまうとのこと。
なお、「iモードIDによるかんたんログイン、あるいはセッション管理」を行っている場合にのみ発生する脆弱性だそうだ。

FOMAにはSIMカード（FOMAカード）にも固有の製造番号があり、こちらで簡単ログインを実装している場合には発生しないとのことだが…。

そもそも必要なのかどうか、セキュリティとユーザビリティを天秤にかけて考えた結果なのか、その点は前回のエントリーに書いたのでここでは割愛。

今回は、「簡単ログイン機能は便利かもしれないが、その仕組みについて再考が必要なのではなかろうか」ということについて提案したい。

ごく一般的なログインフォームであれば、
１）ユーザ毎にユニークな「ID」と
２）その人だけが知る鍵＝「パスワード」を入力し、
その組合せが一致した段階で初めてログイン成功、となる。

簡単ログイン機能では、この「ID」と「パスワード」の組合せを携帯電話固有番号で置き換えている。
これはあまりに信用しすぎではないだろうか、と思う。
携帯電話固有番号が担える役割は「ID」の部分だけなのでは？
せめて簡単ログイン機能でも「パスワード」の入力は必須、とかにしたらダメなんだろうか？
それだけでユーザビリティは下がりまくって会員数が激減して売り上げが落ちる、と言われるなら仕方ないが、ほんとにそうなのか？？

まぁそれでも脆弱性は発生すると思いますが、携帯電話を紛失したときなどのリスクを考えても、随分マシになるのではないだろうか？

ヘタレSEの一意見にすぎませんが…

是非皆様のご意見を頂きたい。
もしよろしければコメント欄に一言残してくださると幸いです。

個体識別番号についての記事を書いていて思ったこと。
※偏見に満ちてますので、容赦ないツッコミは歓迎です。
※でも、あんまり言われると泣きます。


簡単ログイン機能の存在そのものに疑問を感じてます。

この機能が目指すところは、
・何回も同じID、Passを入力するのは面倒なので、省略したい
・携帯電話の入力機能は不便なことが多いので、簡単にしたい
ということだと思います。

PCサイトでも同じ機能はありますが、携帯電話の個体識別番号を使う問題点は
（１）盗難・紛失した際にもログイン情報が残る
（２）必ずしもSIMカードに割り当てられた番号とは限らない
ということでしょうか。

（１）の状況は、リモートロックや回線停止などで、ある程度回避できそうです。
この場合、問題になるのは（２）の状況です。

最近の携帯電話はSIMカードを差し込んで使います。
SIMカードを変えれば電話番号も変わります。

ということは。

簡単ログイン機能で、SIMカードではなく端末の情報で判別していた場合、
盗難・紛失の際であっても、SIMカードを差し替えればログインが可能になってしまうということになります。
・・・これって相当なリスクだと思うんですが・・・

簡単ログイン機能を検討している担当者の方は、そこらへんを強く意識してほしいものです。
担当者が理解してないってのはよくある状況ですがね・・・

おまけ：
携帯電話サイトに関わる人は、一度は読んでおくと良いです。
ITmediaモバイル：携帯電話に求められるセキュリティの条件

この記事.の続きで。

「iPhone」「個体識別番号」で検索してくる方が多いので、続きの記事を書いてみる。

私の経験は、WEBサイトの「簡単ログイン」機能で個体識別番号を利用していたためにiPhoneやスマートフォンに対応できなかったというもの。

その解決策になりそうなのが、cookieを使った処理。

こちらのサイトで解説されてました。

携帯電話の「簡単ログイン」は個体識別番号を使ってこんなふうに作れます｜WEBクリエイターの木

簡単にまとめると、
１）初回ログイン時にcookieに個体識別番号を書き込む
２）次回以降はcookieの情報を利用する
ということです。
このやり方はPC向けのサイトで見かけますね。

問題点としては、
・ユーザ自身がcookieを削除した場合にログインできなくなる。
・cookieが古くなって自動的に削除されてしまうとログインできなくなる。
ということ。

やはり完全な回避は難しいと思われます。

今後の可能性ですが、MACアドレスを利用するということも考えられるかもしれません。
ブラウザの対応が必要ですので、まだ現実的な方法とは言えないですが。

何かいい方法をご存知の方がいらっしゃったら是非コメントお願い致します。