主にWEB関係の話。

スポンサード リンク

携帯ユーザIDを認証に用いる危険性

近今の携帯サイトでは一般サイトであっても、一度ユーザIDとパスワードを入力してログインしてしまえば、以後はログイン情報を入力せずとも会員ページにアクセス可能・・・という仕組みを用意しているサイトが数多くある。

この認証には携帯電話の

au→サブスクライバID
SoftBank→X_JPHONE_UID?
DoCoMo→iモードID

と、いったものを利用している。
(以下ユーザIDと表記)

これらの情報は環境変数として取得する事が可能で・・・

phpの場合は

//au
$_SERVER['HTTP_X_UP_SUBNO'];

//SoftBank
$_SERVER['HTTP_X_JPHONE_UID'];

//DoCoMo(スクリプトを呼び出す時にパラメータguid=onを含んでいる必要がある)
$_SERVER['HTTP_X_DCMGUID'];

といった形で取得出来る。
(各携帯電話でこれらを送出しない設定も用意されているが、ウェブサイトを利用しようと思った場合、オフの設定では不便な事が多いので、ほとんどの携帯電話でオンになっていると考えて良いと思う。)

さて、これらの個体識別情報は何処まで信用しても良いものか、という点について

高木浩光@自宅のブログ
ここまで破綻しているケータイID認証
まだまだ他でも破綻しているケータイID認証

で触れられている。
難しい言葉が並んでいたので自分自身、完全に理解出来たとは思えないけど、携帯電話のユーザIDは条件が揃えば「偽装可能である」と言う事は良くわかった。

ちなみに「え?これって長いユニークな値でしょ?偽装できても簡単に一致させるのは難しいし、文字列組み合わせて総当たりさせるしか無いんじゃ?!」
と、実は一瞬思ったんだけど…

全然違うね。

携帯ユーザIDの場合、環境変数として常にまき散らしているようなものだし…
例えば適当なサイトを作って、ユーザIDを収集、収集したユーザIDを「簡単ログイン」を使用している大手サイトに総当たりさせれば一致確率はグンと上がる。
例えばターゲットサイトが少規模であったとしても、同一ジャンルのサイトを制作し、そのサイトでユーザIDを収集すればそれなりに一致確率は上がる。
知人・友人がどのサービスを利用しているかを知っていれば、その友人の携帯のユーザIDを調べて・・・とかやると、一致確率は…。

こわいなー…。

スポンサード リンク

人気記事

最近の投稿

カテゴリー

タグ