携帯電話の「簡単ログイン」は個体識別番号を使ってこんなふうに作れます
たいていのWEBアプリはユーザ名とパスワードを聞かれて認証を行います。これはちょうど家に鍵をかけるようなもの。それほど重要でない情報のみのサイトならこれで十分ですが、貴重な情報があるとなるとそうはいきません。
この物騒な世の中、鍵ひとつじゃ安心できないわ
という声も聞こえてきます。最近セキュリティの高いところでは、やれ指紋やら静脈やら虹彩やらで個人を識別して鍵が開くようになってきていますね。WEBアプリにもユーザ名とパスワードの鍵以外に、端末の識別番号を使って認証する方法があります。
さて今日は携帯電話に焦点を当てて、ユーザ名とパスワード+自分の携帯からしかアクセスできないというように変える方法をご紹介。
携帯端末には一台一台に電話番号とは別の個体識別番号があります。この番号を、ユーザがサイトにアクセスしてきたときにプログラムで取得することができます。個体識別番号をサーバ側に保存しておき、認証のときに、以前登録した番号と今回認証しようとしている個体識別番号が同じかどうか比べます。登録番号と個体識別番号が同じなら認証OK。違っていたら「あんたどこのだれですか入れませんよ」ということで、「本人の端末からしかアクセスできない」というセキュリティの高いシステムに早変わりです。これなら勝手に携帯の中身を見るおかんか恋人くらいしか大事なサイトの情報にアクセスできないでしょう。
いわゆる「簡単ログイン」は、この個体識別番号が合っているかどうかで認証しています。
次に、携帯電話会社それぞれによって個体識別番号を取得する方法が違います。
取得の方法について詳しくはこのサイトを参照。
http://tachibana.blog.ocn.ne.jp/blog/2006/05/ez_7a39.html
注意点としては、ユーザ本人が個体識別番号を送信するかしないか選択することができるようになっています。
DoCoMoは、認証のたびにユーザに「携帯電話/FOMAカード(UIM)の製造番号を送信します Yes/No」と聞かれ、Yesと答えると個体識別番号が送信されて取得できます。
auはまず問題なく個体識別番号を取得できます。端末を購入して最初の設定のときに、EZ番号を送りますか?とユーザに問いかけられていて、たいていのユーザは「はい」と答えています。
SoftBankがやっかいなのですが、端末を購入したままの設定で、個体識別番号を送らないという設定になっている機種があります。特にVodafone3G世代からです。この場合、ユーザに個体識別番号を送るように設定してもらう必要があります。設定の方法が端末ごとに異なるため、ユーザに説明するのが非常に手間です。Yahoo!ケータイ
このような機能がついたのは次のような個体識別番号を使った架空請求が流行ったせいでしょうか?
http://www.kokusen.go.jp/soudan_now/kotaishikibetsu.html
それから上記のように個体識別番号を取得するという方法をとらなくても、公式サイトに載るようなコンテンツは、個体識別番号とは別に端末を識別できる番号を取得することができるそうです。この場合はユーザが個体識別番号を送る、送らないの設定をしなくても勝手に識別番号が送られています。
最近台数を増やしているウィルコムも無視できません。ところがウィルコムは個体識別番号を送らないのです。
そこでこんな方法があります。ウィルコムはCookieを使えるので、最初の登録のときにCookieにその端末専用の個体識別番号をサーバ側で発行して書き込んであげるのです。認証のときにそのCookieに書かれた番号が同じかどうか比べることで、個体認証を実現できます。
ただし一部の京セラ端末とサンヨー端末では、ユーザがいろんなサイトをみてCookieがたまっていくうちに、古いCookieが勝手に消えてしまうことがあり、急にログインできなくなったという問い合わせを受けることがあります。これは今のところ回避方法が見つかりません。再登録すれば基本的に直ります。それでも直らないときはメールや写真を消したり、端末をフルリセットしてもらって再登録すると直ります。
イーモバイルもウィルコムと同じようにCookieに書き込む方法でいけました。フルブラウザが増えてくるとこのような方法で個体認証していくことになりそうです。