http://blog.rocaz.net/2011/06/1207.html
えーと、まぁ余り取り上げたくない、ちょっとアレなUID危険論サイトなんですけど、auのEZとPCサイトビューアのIPが統一されるという話で「もうダメだ」と展開している件について、「どこまでダメになるんでしょうか」と言う質問をいただきました。
この中で、まぁ前からこの人が主張しているのは「今のUIDを有効に保っているのは『脆弱な』3条件」と三つを上げていますが、いや、その三つをこそ、ケータイキャリアは死ぬ気で守ってるんですよね。決して『脆弱な』なんて形容詞をつけてよいような甘い体制ではないです、私の知る限り。はっきりいってあの辺の仕組みを守るために各事業者が(超関係者外秘情報につき省略されました)
と言うことで、端末もコンテンツも厳しい審査の上に展開されることで脆弱な3条件を守っています。逆にいえば、審査を通っていない勝手コンテンツは当然ながらUIDやIPの無謬性も保証してもらえません。信用は出来るけど信頼してはいけない、と言うもの。だから「まっとうな非公式」はしつこいほどに「個人情報やクレジット情報を入力するな」と警告表示したりしているわけです。と言うことで、以下はあくまで審査通過レベルのきちんとした作りのコンテンツ(TCP/IPレイヤのIPをノーチェックだったりHTTPSでサーバ処理をバイパスするなんていうインチキをやらない前提)の話。
そんなわけで、auがこの記事に書いているほど甘い考えを持っているはずがありません。と言うより、私は事実は逆であると考えます。つまり、今まで、「ゲートウェイによるID付与と加入者認証・端末認証・他」で守ってきたドコモ・ソフトバンクに対して、「端末によるID付与と端末・契約の強固なひも付け(例のセルフSIMロック)」という形でのUID保護を行ってきたau、しかしさすがに端末任せの現状はまずいと考え(はっきり言って私でも破る方法が思いつくレベル、いくつかの重要なキーが必要ですけど)、ゲートウェイ付与方式に転換するもの、と私は見ます(あくまで想像です、事実は異なる可能性は低くないです)。
実は、この辺の仕組み、auが一番遅れてるんですよ。ドコモが最初に契約ベースのゲートウェイ付与方式を取り入れ、ウィルコムがそれを一歩進めてどんなブラウザを使っても契約ベースで同じUIDが付けられる仕組みを作り(その代わり処理が重過ぎて一般サイトには通知できないらしいけど)、ソフトバンクも一時ものすごく混乱をきたした(公式網に変な端末が入れたり)もののほぼドコモと同じ仕組みへ移行、出来てないのはauだけと言う状況になっています。
で、auが今度、EZとフルブラウザのIPを統一し、HDML対応をやめる、と言うことをやるわけで、この二つを合わせてみれば、EZとフルブラウザを同じゲートウェイに収容しつつ、ブラウザでの偽装を許さない形でのUID付与をゲートウェイで行うようになる、フルブラウザでも偽装不可能なUID通知が始まる、あるいはそのスマートフォンへの拡張も考えている(SPモード対抗として)、と読めるのですよ。
実際、ウィルコムも、一般向けに提供されていないので知る人は少ないのですが、ケータイブラウザもフルブラウザもスマートフォンも(公式向けは)すべて同じゲートウェイに収容し、同じUIDを発行しています。私は単にauもその方式に移行するだけだと思ったわけで。技術的には簡単なんですよ。リクエストに含まれるUIDに関するオプションやパラメータを一旦跡形もなく剥ぎ取り、加入者データベースに問い合わせて正しいUIDをくっつける。それだけ。たったこれだけで誰にも偽装できないUID付与が可能。auの古い端末は自発的に端末IDを送ってしまいますが、多分それはゲートウェイで一括剥ぎ取りし、加入者データベースから引っ張ってきて付与するという仕組みに移行するのだろうと思うのですよ(端末IDは加入者データベースからも引けますし)。
あるいは、au端末に積んであるフルブラウザを試験した結果、UID偽装ができる設定やスクリプトなどは動かせないと結論して、単にIPがもったいないから統合しただけかもしれません。この可能性もほどほどに高いと思うので「上のようなことをやっているんだ!」とはさすがに断言は出来ないところなのですが。しかしauがUIDの仕組み上一番遅れているし一番破る敷居が低いのも事実なので、そろそろ手を入れたんじゃないかと思いたいところ(苦笑)。
まぁ実際に始まってみないとなんともいえないですけど。auが世紀のチョンボをやったのか、単にIP節約体制に入ったのか、あるいは過去最高にセキュアなUID付与体制が整ったのか。いずれでしょうね。ゲートウェイ、ブラウザ動作などについて、「検証」を楽しみに待ちたいところです。