あきネット

フリーソフトウェアやオープンソースをはじめ、コンピューターやインターネットに関するTIPSや話題を扱います

北のまちから南のまちへと素敵な何かを届けます。
それは、六花かもしれないし、ナナカマドの実かもしれないし、雪の下キャベツかもしれません。

Facebook と、シングルサインオンの危険性

巨大ウェブサービスからの漏洩


Facebook は、サービスの性質上、より多くの個人情報を登録している人が多いと思われます。
そのため、漏洩するとなおさら大変なことになってしまいます。Twitter なんかの比ではないでしょう。


Facebook への好意や信頼のより高い人ほど、個人情報をより多く登録している傾向があるでしょうし、
先日のアクセストークン漏れ事件にしても、アクセストークンを利用していた人は、Facebook に云われるがままに切り替えた人々でしょう。
そうした人々が、信頼を裏切られ、大きな被害を受けてしまっています。





日本では Facebook の人気はそれほどでもなく、Twitter の人気が異様に高い特徴があります。
しかし近年は、Instagram の流行をやたらと煽るようになりましたよね。Instagram は Facebook がやっています。


Instagram は、SNSのうちでも特にイジメの温床なことで知られていますが、
日本人は、自己肯定感が低かったり、人付き合いでSNSが事実上必要になったり、同化志向が強かったりで、Twitter や LINE 、さらには Instagram を利用してしまう、そしてつらい思いをしている経験があったり、その最中だという人も少なくないと思います。


Instagram も Facebook の アカウントでログインすることが可能です。
初めてでも、Facebook のアカウントがあればすぐ始められる、というわけです。


Instagram にかぎったことではなく、少なからぬウェブサービスは、Facebook のアカウントでも利用可能なようになっていますよね。
Facebook でなく Twitter ということもあります。


われらがムラウチも、blogmuraID に Twitter や Facebookのアカウントも採用していますね。



こうしたいわゆる「シングルサインオン」という、ひとつのアカウントで複数のウェブサービスが利用可能というしくみですが、
Facebook や Twitter などは、シングルサインオンのしくみを開放しているわけです。
そして、 Facebook や Twitter はアカウント登録者数がとても多いので、よそのウェブサービスも利用したがります。
お互いに、商売のためです。


Facebook や Twitter は世界的大手ですので、同時に、狙われやすいです。
今までも散々に攻撃を受けてきています。


Facebook のアクセストークン漏洩の件でも、
漏洩が判明して、 Facebook はアクセストークンによるログイン状態について、よそのウェブサービスについても、ログアウト状態に切り替えました(そうでないと乗っ取られますよね?)。


パスワードがありすぎることが問題


ユーザ名やパスワードがたくさんありすぎて困るということはあるでしょう。


しかし、シングルサインオンにすると

  • おおもとが漏洩したらどうなるか
  • おおもとがシャットダウンしたらどうなるか

という懸念があります。


パスワードがありすぎるので使い回すと、どこかが漏洩したらよそも乗っ取られる危険がきわめて高いです。


だから、パスワード管理ツールを使用している人も多いはずです。
例えば Lastpass かもしれませんし、 Google アカウントや Firefox Sync かもしれませんが。
しかし、善後策でしかありません。同じように、おおもとがやられるリスクがありますよね。


問題の所在は、パスワード認証が多すぎるということです。


パスワード以外に、より確実で強固な手段があれば、使い回しもシングルサインオンも不要です。
例えば、電子証明書がそうですよね。
またおそらくご存じの通り、生体認証(バイオメトリクス認証)という手法もありますが、ただ技術的には完全ではありません。


いまのところ、電子証明書がベストではないかと私は思います。
それこそ住基カードやマイナンバーカードが登場して、個人向けの公的電子証明書も出てきたわけですが、
公的な電子証明書でなくたっていいし、むしろそうでないほうがよいんだろうと思います。
マイナンバーカードの電子証明書でもそうですが、
電子証明書を認証の基本にして、パスフレーズや暗証番号などの簡単なものを組み合わせて保護してあります。


移行は次第に進み始めていますが、実装が容易にならないと、なかなかパスワード依存から脱け出られないでしょうね。
また、利用者のなかにも、パスワード認証はわかるけれど、電子証明書の使い方がわからないとかいうこともありそうです。


blogmuraID について

blogmuraIDで、ブログライフをもっと快適に


blogmuraIDをご利用いただくことで、当社が提供するブログサービス・muragon(ムラゴン)をより安心してご利用いただくことができます。


blogmuraIDにSNSアカウントを連携させることで、メールアドレスが変わったり忘れてしまったりした場合でも、ログインすることができるようになり、より安心してご利用いただけます。


今後は、当社の提供するにほんブログ村などにも利用を拡大してまいりますので、ぜひご利用ください。


って言うんですけど、
blogmuraID でムラウチのサービスのサインオンを統一することは、よいとは思います。


しかし、 blogmuraID の登録に Facebook や Twitter アカウントを利用するのは、やめてほしいなあ、とも思います。
むしろ安心ではないから。


SNSとは別のサービスなのに、SNSのアカウントを連携させるのはおかしいと思うし。本人が好きで連携させるんだから、っていう話でしょうが、
本人は、リスクなどわかっていてやっているのでしょうか? 「安心して」って言われて「ハイそうですか」ってなっていませんか?