雑多

ドコモが iモード ID 発表 – セキュリティは?

ドコモから iモードID という仕組みが発表されました。
重要なお知らせ : 『iモードID』の提供開始について | お知らせ | NTTドコモ
ドコモ、iモードサイトに共通の利用者ID機能「iモードID」の提供を開始:モバイルチャンネル – CNET Japan

リクエストに契約者毎にユニークなIDを降ることで、パーソナライズされたポータルや、セッション維持が容易に行えるというものです。

#セッション維持に用いる場合はなりすましを防止するため接続元 IP アドレスの範囲を限定する必要があると思いますが

既にソフトバンクの一部の携帯でも端末固有のIDを送ってくるものがあるようですが、iモード契約者全員、デフォルトで送信するようになるようなのでとても普及しそうですね。

IDは電話番号やメールアドレスとは無関係なランダムの文字列なので、ユーザーから登録しない限りは基本的に個人情報流出の恐れはありません。

ただ、個人情報を登録したサイトが ID とのひもつけを行い、その情報が流出した場合はいとも簡単にアクセス者を特定することができるようになってしまいます。

もちろん、設定をすれば ID の送信を停止することもできるようです。
・ドコモ – 重要なお知らせ -『iモードID』の提供開始について

●iモードIDの通知について
iモード対応サイトにおいて、アクセス先URL内に予めiモードID用のパラメータを記述しておくことにより、お客様がサイトアクセスした際にiモードIDの通知が行われます。1

●iモードIDの通知設定について
お客様がiモードIDの通知可否を選択できます。
iモードから
「iMenu」→「料金&お申込・設定」→「オプション設定」→「iモードID通知設定」

ID が変更されるのは「名義変更、改番、iモード契約の解約」のタイミングとのことでです。
つまり普通に契約し続けている場合は ID が変わらないわけです。
一度 ID と個人情報のひもつけが流出してしまえば個人情報垂れ流しでアクセスするのと同様になってしまうので注意が必要ですね。

変なサイトにアクセスしただけで、後日電話がかかってきて「アクセスしましたよね?ね?XXXX万円になりますから振り込みよろしく」なんてことにもなりかねません。

安全性がやや高く、利便性も損なわないためには
・契約者毎に ID を振るのではなく、アクセスするドメイン毎に契約者固有の ID を振る
・契約変更などを伴わず、容易に ID をリセットできる仕組みを用意する
といった対策が望ましいのではないかと思います。