iモードでは、契約者固有IDが3種類存在する。ユーザIDとiモードIDはSSL環境下では取得できない。 EZwebでは、ユーザが送信を止める設定をしていない限り、すべてのウェブサイトへのアクセスにおいて、HTTPリクエストの「X-UP-SUBNO」ヘッダに契約者IDが付加される[6]。この契約者IDはSSL環境下でも取得できる。 Yahoo!ケータイでは、ユーザが送信を止める設定をしていない限り、すべてのウェブサイトへのアクセスにおいて、HTTPリクエストのユーザーエージェントヘッダに端末IDが付加され[7]、また、HTTPリクエストの「X-JPHONE-UID」ヘッダに契約者IDが付加される。 SSL環境では、ソフトバンクモバイルが提供するSSLゲートウェイ(secure.softbank.ne.jp)を通して通信する場合に限り端末ID・契約者IDを取得可能である。「https://?」で始まるURLを直接指定してアクセスした場合など、同ゲートウェイを通さずに通信を行う場合はIDを取得できない。 なおソフトバンクモバイルでは、2011年6月末でSSLゲートウェイを原則廃止しており[8]、同年7月以降はSSL環境での端末ID・契約者IDの取得ができなくなった。 イー・モバイルでは、EMnetで接続して、ウェブブラウザの設定で wm.internal.emnet.ne.jp:8080 をProxyサーバに指定すると、HTTPリクエストの「X-EM-UID」ヘッダに端末IDが付加される。この端末IDはSSL環境下では取得できない。[9] ウィルコム公式サイト向けに個体識別情報を送出する仕組みがある[10]。 契約者固有IDはサイト側で簡単に取得できる。このため、個人情報とひも付けされた契約者固有IDがサイトから流出してしまうと、契約者固有IDを手がかりに個人情報が特定できることとなり、悪意のある者により犯罪利用される可能性が指摘されている[11][12]。 また現在のところ、契約者固有IDはサーバによらず端末(契約者)が同じであれば同じIDが使用されるため、Web上の複数のサービスの利用状況をマッチングさせることでも個人情報を収集できる可能性がある。 しかも、契約者の都合で契約者固有IDを任意に変更する機能は、現在のところ提供されていない。従って、何らかの形で契約者固有IDが悪用された場合には、契約者は契約の解約・機種変更等で対抗することを迫られ、無駄な労力・出費を強いられることになる。 契約者固有IDは、単にHTTPリクエストのヘッダに付与されるものなので、任意のHTTPリクエストの送信が可能なクライアントからは任意の契約者固有IDの送信が可能であり、ウェブマスターはHTTPリクエストヘッダを参照することでウェブサーバにリクエストを送ったユーザの契約者固有IDを取得することが可能である。この性質から、他人の契約者固有IDを入手した者は、容易にその契約者固有IDが送信可能である。携帯電話のHTTPクライアントは悪意のあるHTTPリクエストを送信できないという前提とすれば、アクセス元のIPアドレスがそのキャリアのものであることを確認することで、悪意のあるアクセスを回避する事ができる。 どのIPアドレスの範囲がどの携帯電話のキャリアのものであるか、その範囲は定常的に決まっておらず、各会社の管理とともに変化している。そのため、信頼できる最新の情報に基づいてIPアドレスのチェックを行わないと、「かんたんログイン」機能を提供する各ウェブサイトは、任意の契約者になりすました悪意のあるユーザからアクセスされてしまう危険がある。各キャリアは「IPアドレス帯域」として技術情報のウェブページに掲載しており、この情報は各キャリアが随時更新している。 しかし、一部のキャリア[13]の「IPアドレス帯域」情報が掲載されているウェブページはSSLを使わずに提供されており、その情報の発信元が信頼できる状態ではなく、また、掲載されている情報には携帯電話以外からのアクセスがないことを保証しない、と掲載されている[14]ため、それらのウェブページの情報を元にIPアドレスを判断して「かんたんログイン」機能を提供する場合、なりすましアクセスを排除することができない。 [ヘルプ]
iモードの公式サイトでは、URLの引数に「uid=NULLGWDOCOMO」の文字列を付加しておく(POSTメソッドの場合は、フォームのhidden属性として持たせておく)と、そのURLにアクセスされたとき、ドコモのiモードゲートウェイが「NULLGWDOCOMO」の部分を契約者ID(「ユーザID」)に置換する[2]。これは契約者が機種変更を行った場合でも変更されない。
HTMLのいくつかの要素に「utn」属性を付加しておくと、そこにアクセスすると、画面上に端末製造番号を送信するかどうかの確認を求めるダイアログが表示され、ユーザが送信することを選択した場合には、HTTPリクエストのユーザーエージェントヘッダに端末製造番号が付加される[3]。この番号は端末に固有なものであるので、契約者が機種変更を行うと変更される。
2008年4月より、URLの引数に「guid=ON」という文字列を付加しておく(「uid=NULLGWDOCOMO」とは異なり、POSTメソッドの時もFORMタグのACTIONの中に記述する)と、そのURLにアクセスされたとき、HTTPリクエストの「X-DCMGUID」ヘッダに、英数字7桁の契約者ID(iモードID、ユーザIDとは別の番号)が付加される[4]。このIDは契約者の機種変更では変更されないが、名義変更・改番・iモード契約の解約によって変更される[5]。
au
呼称:「サブスクライバID」「EZ番号」
ソフトバンクモバイル
呼称:「端末シリアル番号」
イー・モバイル
呼称:「ユーザID」
ウィルコム
呼称:「個体識別情報(UID)」
プライバシー上の問題点
セキュリティ上の問題点
脚注
^ ⇒携帯各キャリアの固有IDについて (全キャリア対応) - ぱらめでぃうす
^ ⇒「UID」とは - ITpro
^ ⇒iモード対応HTMLタグ一覧 : utn属性
^ ⇒重要なお知らせ : 『iモードID』の提供開始について 。お知らせ 。NTTドコモ (2008.02.28)
^ ⇒iモードIDについて
^ ⇒ユーザエージェント - EZfactory
◇ピンチです!◇
■暇つぶし何某■
Size:16 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)』
担当:FIRTREE