« 日本における政治的フィルタリングの例契約者固有ID送信義務化規制なしに日本のインターネットが終了する可能性について »

ケータイ認証もどきのPCへの侵食の例

2008/07/30

Permalink 01:15:10, by Nobuo Sakiyama Email , 23 words   Japanese (JP)
Categories: セキュリティ

ケータイ認証もどきのPCへの侵食の例

楠さんは「ケータイ的な世界がPCに浸食するとは考え難い」というのだけれども、楽観的にはそうだろうし、そうあってほしいけれども、悲観的な見方は可能だ。ふとニュースサイトをみると、Yahoo! BBという巨大ISPが主要事業のソフトバンクBBがSyncLock for OWA提供開始といってニュースになっていた。いろいろと嫌な予感がしてググると、高木さんが1年近く前に「対策にならないフィッシング対策がまたもや無批判に宣伝されている」という日記を書いていた。ただ、ここでは表題通りの批判が主眼で、認証方式自体についての高木さんの評価は

ちなみに、フィッシングの観点を除けば、この携帯電話を用いた認証方式は他の方式に比べて優れた点のあるものであることに間違いない。

ユーザがパスワードを自己管理するのは難しく、安易な弱いパスワードを使ってしまったり、どこのサイトにも同じパスワードを登録したりしてしまうのはなかなか避けられそうにないところ、ワンタイムパスワード方式と同様にこのソリューションは、ユーザに認証用秘密情報を決めさせないので、その意味での危険をなくすことができる。

対策にならないフィッシング対策がまたもや無批判に宣伝されている - 2007年09月23日 高木浩光@自宅の日記

というものだった。

このSyncLockだが、サービス紹介サイト上の説明によれば、

携帯電話の個体識別番号に紐づいた 「Key ID」をカギとすることで、携帯電話保有者以外のアクセスを防止します。また、ユーザは、面倒な複数のID・パスワード管理の必要がありません。

シンクロックとは - 確かなセキュリティ

という説明があり、対応機種の条件としても「携帯電話個体識別番号を送出可能であるか、または送出可能に設定できること」が明記されている。

あらかじめ断っておけば、SyncLockにおける「個体識別番号」は単体で認証に用いられているわけではないし、「オプション」として、「暗証番号、Q&A、指紋認証、声紋認証」を加えて「セキュリティ強度を高める」ことが出来るとされているから、高木さんが今回述べているような『「簡単ログイン」の危うさ』と同列に見ることができるかどうかは自明ではない。高木さんが前述の引用部分で認証方式自体をあまり問題視していないのは、携帯電話個体識別番号がそれ単体では認証(authentication)ではなく高々同定(identification)に用いられているに過ぎない、という判断なのだろう。が、それでも、少なくともサイトで喧伝されている上記の文章は正確な表現ではなく、読む者の携帯電話個体識別番号への誤った信頼を促進しかねないだろう。SyncLock 自体はニッチなサービスだと思われるので、存在自体がケータイ認証もどきのPCへの決定的な侵食になるということではないが、こういう方式が大手メディアで無批判に繰り返し宣伝されていくことで、日本のICTにかかわる層が少なからず(高木さんの言葉を借りれば)「退化」していく面もあるのではないだろうか。