続報が来ましたので、記事にしたいと思います。
前回までのおさらい。
KimuraMemoさんの記事からの情報によると、auの2011年秋冬モデルである「F001」のPCサイトビューアーからアクセスした場合、接続元IPアドレス帯域がEZfactoryのページにある情報と違い、何かおかしい気がする。
結論からいうと、KDDIの新GWで「かんたんログイン」のなりすましの問題が発覚し、その対処のためあえて異なるIPアドレス帯域を使っていたようです。
一時期は危険な状態にありましたが、現在は問題が解決しているとのことです。
このあたりの経緯は徳丸氏の書いた記事に詳しくまとめられています。
→ 徳丸浩 KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された [blog.tokumaru.org]
F001発売後まもなくの時点で、ひそかに徳丸氏の元に脆弱性の相談がありKDDIに連絡、その後翌日すぐに対処が行われたとのことです。
EZfactoryのサイトにも修正情報が掲載されています。
(フォーラムからも情報提供いただきました。ありがとうございます。)
→ KDDI au EZfactory 技術情報 IPアドレス帯域 [au.kddi.com]
削除
「※2011年秋冬モデル以降の一部機種ではPCSVとEZブラウザのIPアドレス帯域は統合されますが、
例えば、ユーザーエージェントを組み合わせることでブラウザを判別することができます。」
削除
「※2011年秋冬モデル以降の一部機種では、EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一されます。」
追加情報として、「2011年秋冬モデル以降の一部機種のEZサーバ」という新たな帯域情報が掲載されています。
結果としては帯域が増えたくらいで、以前に近い形に落ち着きましたね。
「元を正せばかんたんログイン自体が悪い」という意見には賛成のため、本質ではないかもしれませんが、KDDIの今回予定されていたEZサーバとPCSVサーバのIPアドレス帯域の統合という作業は、本当にやるべきだったのか疑問に感じます。
(結局元の形に戻ってしまっていますし)
端末のPCサイトビューアーの出来に依存してしまうため、危険なかんたんログインが今回のように更に危うい形になってしまうと思います。
私自身、このようなサイトを運営していながら、すっかりガラケーの仕事からは離れてしまっているので、ここ最近の現場はわからないですが、技術者の多くが、問題のあるかんたんログインは実装したくないというのが本音になってきていると思います。
なぜなら単純で簡単なクッキー実装に比べて、あまりにリスキーで難易度が高いためです。
ただ、そこでキモとなるのは、クッキー非対応端末、具体的にはiモード1.0端末のシェアです。
この夏に出たL-10Cなど、iモード1.0端末は最近発売された機種の中にもまだ存在します。
久しぶりに調べてみましたが、2011年10月時点で、「ドコモの約45.1%、全体の約24.7%がクッキー非対応端末」でした。
→ 参考: モバイルユーザー傾向DATABOX(2011年10月) [web-tan.forum.impressrd.jp]
算出方法は、前回の調査と同様です。
端末ごとのシェアが不明のため、そこがアバウトなのと、ウェブをアクティブに使う層は、新しい端末を使う傾向があるので、実際のクッキー非対応端末のシェアはもう少し低いと思われます。あくまで参考程度にお使いください。
・2010年10月時点で、ドコモ内の70.6%がクッキー非対応、全キャリアで40.2%がクッキー非対応
・2011年2月時点で、ドコモ内の53.7%がクッキー非対応、全キャリアで29.8%がクッキー非対応
でしたので、過去に比べて順調に下がってはきています。
ただ、この数値を多いとみるか少ないとみるかは、多くの場合が顧客(=システム開発の発注元)の意向次第というところがあるでしょう。
私としてはクッキー非対応端末のシェアは確実に減りつつありますので、もう危なっかしいかんたんログインを新規で制作する必要はないと思います。
また既存のシステムでも、クッキー対応端末を判別して分けるなどで、かんたんログインのリスクを下げる形に徐々に移行していくとよいかもしれません。
関連: