かんたんログイン問題について、どう思いますか?


携帯電話でのいわゆる「かんたんログイン」について今年の初め頃から話題になっています。これについて、疑問があります。みなさんのご意見やお考えをぜひお聞かせください。


★ そもそも懸念されている危険性が起こる確率は低いのではないか?

私はこの問題の技術的背景については「そこそこ理解している」という程度のレベルですが、かんたんログインの問題点を突いて実際に悪用される確率はかなり低いと思います。

みなさんは現実的にどの程度の危険性の確率があると思われますか。

(もちろん確率が低いから放置してもいいでしょ・・・と言っているわけではありません)

回答の条件
  • 1人5回まで
  • 150 ptで終了
  • 13歳以上
  • 登録:2010/07/28 08:52:12
  • 終了:2010/08/04 08:55:03

回答(9件)

ただいまのポイント : ポイント11 pt / 150 pt ツリー表示 | 新着順
 

ちょっと語弊はあるけど JULY2010/08/01 15:42:04

IP アドレスを制限されていれば、「心配する必要はほとんどない」とまでは言えませんが、悪用されにくい、という程度には言えると、個人的には思います。

技術的には DNS Rebinding の問題も、準備は必要だけど難しくはない、といったレベルなので、IP アドレスが制限されていない状況下でのなりすましに比べれば、リスクは少ないですが、それでも「技術的には難しくない」という認識は持っていた方が良いと思います。

あと、darokwood さんが指摘されているように、実はキャリア側は、IP アドレスの範囲は保証されていない、とか、そもそも、その情報が改ざんされていないという保証が無い、とか、キャリアの IP アドレスから届いていても、相手が携帯電話であるとは限らない、とか、細かな問題もあります。

それと、固有 ID が持つプライバシーの問題も考えれば、簡単ログインを使わずに済むなら、使わない方が良いことには違い有りません。具体的な方策は、先の私のコメント中にある、高木浩光さんのページで、「こう作れば?」とうタイトルのスライド以降が参考になると思います。

どうやって? darkwood2010/07/31 17:34:51

> サイト側が訪問者のIPアドレスを判別して、携帯会社のゲートウェイ制限をかけた上での話です。

えーと、以下のように保証されていないのですが。(先の投稿にリンクを記載忘れ。再度、追リンクも何なので、こちらに記載してみた)

http://kaede.to/~canada/doc/ipaddress-of-cellphone

追記というか追リンク darkwood2010/07/31 17:25:39

悪貨が良貨を駆逐してしまうかもしれない事が問題 darkwood2010/07/31 17:18:04

 可能性が低いとしても、欠陥技術が蔓延するのは問題。それに可能性が低いのは、日本固有な事に助けられている面も有るのでは。

 IPアドレスとの組み合わせも、以下を見る限りでは、問題有り。

http://takagi-hiromitsu.jp/diary/20080727.html

高木氏のblogを良く読んでみては?

 所で、高木氏に関わらず、日記形式だと常時通読していないと、わかり難い上に後日記載箇所を調べるのが大変。日記とは別に体系的に記載したWebも作成して欲しい所。

http://bakera.jp/ebi/topic/3182

http://takagi-hiromitsu.jp/diary/20080722.html

http://takagi-hiromitsu.jp/diary/20080710.html

http://takagi-hiromitsu.jp/diary/20080803.html

http://takagi-hiromitsu.jp/diary/20100417.html

http://http://takagi-hiromitsu.jp/diary/20100619.html#f06takagi-...

http://takagi-hiromitsu.jp/diary/20100619.html#f06

http://takagi-hiromitsu.jp/diary/20100516.html

http://takagi-hiromitsu.jp/diary/20100417.html

http://takagi-hiromitsu.jp/diary/20100415.html

http://takagi-hiromitsu.jp/diary/20100425.html

そう思います chipmunk19842010/07/30 07:44:19

技術より運用の問題ですよね

もちろん dreamzico2010/07/29 14:54:47

サイト側が訪問者のIPアドレスを判別して、携帯会社のゲートウェイ制限をかけた上での話です。

そうすれば、かんたんログインの悪用を心配する必要はほとんどなくなると思うのですが・・・。

そうですね dreamzico2010/07/29 14:53:27

そういったソーシャル・クラッキングの可能性のほうがよっぽど高いと私も思います。

それ以前の問題(結局は端末の管理) http47992010/07/28 19:01:14

簡単ログインを設定すると、携帯端末の固有IDを使って携帯を判別することになります。

ですので、もし、携帯端末を紛失した(或いは盗まれた)場合、はてなのログインページに行くと実質的にパスワード無しでそのアカウントにログイン可能になってしまいます(サブアカウントがある場合はそのアカウントもログイン可能)。

さらに、au携帯の場合はauICカード(UIMカード)を抜き取られ、アカウントを悪用される危険性もあります(auICカードは大抵携帯のバッテリーパックを取り外したところにあります)。他キャリアでもUIMカードを採用している所があるので、注意してください。

少し話がずれますが、携帯端末の固有IDは比較的簡単に抜き取ることが出来ます。

例えば、ここのアクセス解析を利用し、簡単な設定をするだけで、固有IDは抜き取れます。

http://tech.bayashi.net/

もし、固有IDが漏れても個人情報を抜いたり、なりすましをすることはキャリアの協力無しでは無理です。安心してください(ここのアクセス解析の固有ID取得機能は、本質的にはリピーターを調べる為のものです)。

しかし、携帯端末を紛失したり盗まれたりしても、簡単ログインはパソコンから解除可能です。

結論としては、悪用される可能性は非常に低いと思いますが(通信はSSLで暗号化されますし)、それ以前の問題として、携帯端末の管理をしっかりしておくことが重要かと思います(心配な人は、簡単ログインを設定しない方が安全です)。

固有 ID のプライバシー問題はさておくとして JULY2010/07/28 11:27:41

正確には、

の2つは分けて考えた方が良いと思います。

契約者固有 ID の問題は、プライバシー問題になります。具体的にどんな事が起きるかは、iPhone アプリの電波チェッカで起きた話が分かりやすいです。

高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて

ただ、これは永続的な ID 全般にまつわる話なので、携帯の契約者固有 ID の問題ではありません。

で、かんたんログインですが、

かんたんログインの問題点を突いて実際に悪用される確率はかなり低いと思います。

かんたんログインの問題は、なりすましの問題になりますが、もし、サーバ側で適切な IP アドレス制限をしなければ、技術的には非常に簡単です。例えば、

  • 契約者 ID で決済するようなサイトで、かんたんログインが使われていて、
  • しかも、そのサイトが IP アドレス制限をしていなくて、
  • そのサイトを利用している契約者 ID が分かっている。

なら、攻撃者にとっても美味しい状態です。3つ目の条件は、ピンポイントで「この ID」という事が分かっていなくても、適当なサーバを立ててアクセスされるのを待てば、山ほど ID は貯まるので、たまった ID を片っぱしから試せば、利用している人の ID は見つかるでしょう。

まぁ、決済を伴わないサイトだと、なりすます動機が小さくなるので、実際には、それほど起こっていないかもしれませんが、技術的な難易度は低いので、動機さえあれば悪用される可能性は高いと思います。

あと、DNS Rebinding を使った攻撃(セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性)は、実際に悪用するためには、それなりの手続きが必要で、かつ、端末側が JavaScript が利用出来る端末に限られるため、今のところは、攻撃者にとって効率が悪いかもしれません。ただ、端末の高機能化はどんどん進んでいるので、次第に攻撃者にとって美味しい問題になってくると思います。

 

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません