雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2010-03-14 [長年日記]

安全なかんたんログインの実現案(キャリア編)

携帯電話のいわゆる「かんたんログイン」機能における成りすまし問題について、アプリ編はあちこちで書かれているのでキャリア編を書いてみます。まず、問題の概略から。

  • 携帯電話からのアクセスでは各種携帯サービスに利用者IDや端末IDなどと呼ばれる利用者を識別可能なID(以下uidと表記)を渡す方法が用意されている
  • 仕様として、同じ利用者/端末であれば全ての携帯サイトに同じuidが渡される

仕組みとしては図の上のようになり、携帯サービスA,B,Cの全てに対して利用者aはxxxa、利用者bはxxxbという同じuidでアクセスすることになります。このため、

  • 何らかの方法で1箇所からuidが漏れると、他のサービスにおいても成りすましログインできる可能性がある
  • uidとキャリアゲートウェイのIPアドレスチェックを併用するなどの対策が言われているが、ゲートウェイのIPアドレス変更があるたびに追従するなど継続的な対応が必要
  • キャリアのゲートウェイを経由した成りすましには対応できない

などの問題があり、サービス側だけでの完全な対策は厳しいと言えます。

そうした背景もあり、キャリアの方でできる対策はないかと考えたとき、ShibbolethというSSOで使われているStoredIDを応用すると多少は状況がましになるような気がしてきました。これをかんたんログイン機能向けにモディファイした方法を以下に述べます。

この方法では、キャリアゲートウェイが携帯からインターネットへのアクセス口とSSOにおけるIdP(認証サーバ)の役割を兼務します。また、端末から送信されてきたuid情報はすべて廃棄し、アクセスしてきた端末の回線情報から契約者のIDを生成して、それをuidとして送信します。フィールドとしては互換性を持たせるためにiモードID(HTTP_X_DCMGUID)、ez番号(HTTP_X_UP_SUBNO)、およびX_JPHONE_UID(HTTP_X_JPHONE_UID)を使っても良いですし、新しい X_****_TARGETED_UIDのようなフィールドにしても良いでしょう。

このフィールドでは以下のルールでuidが提供されます。

  • ある利用者が特定のサービスにアクセスする時には、常に同じuidが渡される
  • 同じ利用者が異なるサービスにアクセスする時には、それぞれ別のuidが渡される

具体的なuidの例は図の下のようになります。利用者aが携帯サービスAにアクセスするとき、uidとして'xxxa'ではなく、'xxxaA'という値が渡されます。これは利用者aがサービスAにアクセスする時は必ず同じ値です。いっぽうでサービスBにアクセスした時は'xxxaB'、Cでは'xxxaC'というサイトごとに異なるuidが渡されます。利用者bも同様です。こうすることにより、サービスAの提供者に悪意があり、かつキャリアゲートウェイにも穴があって、これを介してサービスCに成りすましアクセスしようとしたとしても、オリジナルやサービスCにおけるuidが分からないため、Cのかんたんログイン機能は使えません。注意点として、uidの表現に必要な名前空間は既存の方法では利用者数分だけで済みましたが、この方法では利用者数×サービス数分が必要となります。

uidは例えば以下のキーを繋げた文字列のSHA-1ハッシュなどにします。

利用者識別子現在の各社uid
サービス識別子各携帯サービスのサーバのfqdnまたはIPアドレス
saltランダムな文字列

おそらく今でも利用者の携帯電話から各サービスに渡すuidを求めるためにテーブルを引いているはずですから、そこにハッシュ関数を1段入れれば比較的容易に実現できそうな気がします。またStoredIDのように一度計算したハッシュをDBに保存すれば、時間のかかるハッシュ関数を使っていても2回目以降のアクセスではレスポンスを向上させることができるでしょう。

ただ、この方法でも信頼できるIdPとしてのキャリアゲートウェイのリストはどうしても必要になります。こうしたリストについては、キャリア側でhttpsなサーバ上にxmlファイルとかを提供してもらい、サービス提供者側は日に1回ぐらいクロールして随時更新する枠組みなどが欲しいところです。

この方法のメリットとしては、以下のようなものが考えられます。

  • サイト横断的な成りすましはほぼ出来なくなる
  • かんたんログインという方法を捨てずに済む
  • 携帯端末からのuid偽装対策はシンプル(基本破棄するだけ)になる
  • スマートフォンの実装も格段に楽になる(おそらく勝手アプリ開放とかしても問題なくなる)
  • 携帯サイト側でもuidの外部漏洩からの成りすまし対策を考えなくてすむようになる
  • スマートフォンからのアクセスポイントは変えるとか面倒な管理がいらなくなる、んじゃないかと思う

逆に問題点もあります。

  • ゲートウェイの負荷が上がる
  • サービス識別子がfqdn/IPだとサーバ分散が難しくなる。認証だけ1台に集約するとかの工夫が必要。

iPhoneによりキャリアとメーカの関係が変わったという話がありましたが、キャリアはいいかげん端末に関しては何でもありな状況を想定し、それでも耐えうる枠組みの構築を真剣に考え、早急に実行する必要があるのではないでしょうか。

.green. ====