先日の日記で携帯の認証に関しての考察をして、とりあえずキャリア毎のIP制限を行っていれば端末IDやユーザID認証を信用していいのでは無いか？と書いたのだが、更に調べた結果どうも怪しい実態が見えてきたので危険度と合わせて再度纏めてみようと思う。

とりあえず指摘があったので前回のテストに加えて以下を試してみました。

うわ弱っ、駄目じゃん。見事にuidの詐称が成功してしまった…。

DoCoMoのユーザIDの信頼性が地に落ちた瞬間です。

2007-03-01追記）DoCoMoスゲー！昨日は確かに上記の方法で詐称できたのに、今日はもう既に対策されとるし(^^;
今、同じことを試すと以下のメッセージが出るのみでした。

IPサイトの記述に誤りがあるためアクセスできません。
Your request cannot be processed due to a wrong description on the contents provider's site.

しかしこのタイミングで対策されたってのは何なんだろうか、この記事でDoCoMoが動いたとは到底考えにくいので、ホントに偶然に今日この対策が行われる計画でもあったんかな…？

以下に「キャリア毎にIP制限がされている上でのIDの詐称可能性」について一覧します。

現状、過度に楽観視はできなさそうですが、それも今後の各キャリアの対応によることでしょう。

ただ、この表で詐称可能性が「無し？」となっているものは、現在僕が検証できた範囲で「無し」としているのみなので、今後誰かの手による確認で突破されるんじゃないか、という予感は個人的にはとてもします…。

もしそんなことになったらクッキーが使えない以上、最悪の場合、殆ど全ての携帯サイトの認証に脆弱性があるということになってしまいます。それを水際で食い止める為にも判明している脆弱性に関して各キャリアはID認証の信頼性を保つために偽装対策を早急に行う必要があるでしょう*8。出来ればIP制限の元ではこのIDは信頼して良いですよ、という言葉をキャリア側から頂けると嬉しいですね。

とりええずサイト開発側で行えることは、上記表で詐称可能性が「有り」の認証方法しか使っていない場合はそれたよらず「無し」の方法やパスワード等による再認証を併用するなどの対策をおこなうということですかね。

2007-03-02追記）先日の日記のコメントに以下のように書いたんですが、

ユーザIDに関しては各キャリアのゲートウェイが行うもので、その正統性の保証も各キャリアが各種対策を施し続けて維持するモノだと思っています。

http://d.hatena.ne.jp/y-kawaz/20070224#c1172772767

思うに、携帯キャリアの姿勢としては脆弱性が発見される度に、例えそれがアドホックな対策と言われようとも今回のDoCoMoの様にひたすら対策し続けていく、というのは一つの正しい在り方だと思う。

• キャリアはコンテンツサイトに対して課金可能な認証手段を提供する。
• コンテンツサイトはキャリアに提供してもらった認証手段を信頼する。
• キャリアは信頼された以上、それが信頼に足るものであるよう努力する。

そういうことでいいのかもな、と思った。*9

追記）2008/03/31より「iモードID」が解禁されたのでその情報を追記