NHN Japan ディレクターブログ

明けましておめでとうございます。 今年もよろしくお願いいたします。 検索を担当しております須田です。 昨年に引き続き年明け1発目の投稿となりますが、OpenIDの利用について、ユーザー・サービス提供側（以下RP） のメリット/デメリット等をまとめてみました。OpenID導入を検討する際のお供にいかがでしょうか。

用語の定義

OP
OpenID Provider (オープンID プロバイダ)の略で、OpenIDとして利用できるIDを発行しているサイトやサービス。

RP
Relying Party (リライング パーティ)の略で、OpenIDでログインできるサイトやサービス
※PRじゃないよっ

認証
OPがそのIDは確かにエンドユーザーのものであるという事を保証すること

認可
OPで認証されたIDを許可し、サービスに対する権限を与えること

詳しくはこちらで。
今回はこれらの用語を使用して進めさせて頂きます。

OpenID実装の際に検討すること

OpendIDで決めておきたい事は次のようなことです。

• RP側はどのOPアカウントを認可するかを決める。
各OPの仕様に従い対応メリット、安全性などを検討。対応OPの選定をしましょう。
• 各認証OPでアカウントがない場合の振る舞いを決める
livedoorはOPサービスもしているため、それほど検討しなくて良いのですが、そうでない場合はOpenID + 自身RPでID登録を用意をする。別OPでID登録をしてもらう。などの対応を検討しましょう。
• 各認証OP共にアカウントを持っていた場合の振る舞いを決める
OpenIDの仕様上どうしようもないのですが、各認証済みID毎に1アカウントとして取り扱われます。

例えば、一人の人間がlivedoorIDとmixiのIDとを持っており、各IDで同一RPにログインした場合、RPはこれを二人の別人と認識します。 RP側はこの挙動に問題ないかどうか、また、2つのIDをまとめたい場合はどうするか等も検討しましょう。
• 予算が許されるなら類似ドメインはできるだけ取得する。
フィッシング詐欺対策です。
example.comというドメインでサービスを提供するのであれば、example.net,jp等も抑えておく等、できるだけややこしいドメインをフィッシング詐欺に使われないよう、先に取得しておきましょう。

OpenIDの性質を把握しておく

OpenID対応を検討するにあたり、挙動等も含めて把握しておいた方が良いと思われる内容です

現在は課金サービスにはRPは不向き？

フィッシング詐欺などの対策がRP側では難しい現状において課金サービスを展開するサービスは他社に信用を預けるかたちになってしまいます。 カードのように万が一偽装された場合保険が効く等の対応があると良いのですが、現時点ではまだまだユーザーには優しくないサービスであり、RPが負うリスクのほうが大きいように思われます。
もしやるとしてもセキュリティー向上の為エンドユーザーに二重に入力項目を求めることになりそうですのでOpenIDに対応するメリットそのものが失われそうです。
※現在、今後OpenIDを利用した課金ができるよう検討されているそうです。

シングル・サインオンに近い仕組みを体感してみましょう

実際にユーザー側の目線でサービスを検討するために２サイト以上のサービスでOpenIDの良さ体感してみましょう。
自サイトだけではこの良さはほとんど体感することができず、2サイト以上の移動をしてみることでその真価を体感することができます。 livedoor Authでもいくつか紹介されていますので是非お試し下さい。

一度OPでアカウント認証済ませたエンドユーザーは、そのOPを許可するRP上では ID/パスワードを要求される事はなく、複数のサイトにまたがってログインしている状態を保つことができます。

悪意あるRPのフィッシング詐欺例をきちんと把握しておきましょう

どのような事が可能かを知るため、OpenIDという名前を利用したフィッシング詐欺例を挙げます。

1. 偽RPを作り釣り糸を垂らしてじっと待つ。
※OpenIDっぽいログインフォームも作ろう。善良な感じがgood
2. エンドユーザーが偽RPにHIT!!エンドユーザーはOpenIDっぽいログインフォームにURLコピペ、もしくはOPを選択。
3. 偽RPは1ivedoor.xxxのような偽OPにリダイレクト（やっちゃダメですよ。）
4. 1ivedoor.xxxはエンドユーザーにユーザー名とパスワードを要求
5. ユーザーはlivedoorのユーザー名とパスワードを入力
6. 悪意あるRPはまんまとユーザーIDとパスワードを(σ・∀・)σゲッツ

いかがでしょうか。自分も見た目さえ同じなら、特にURLなどは確認しないので引っかかってしまいそうです。 しかも悪意あるRPは人気サイトの偽物である必要はなく、魅力的っぽい、OpenID対応風のRPを作るだけで準備ができてしまいます。 エンドユーザーは、基本的に「見た目」でそのリダイレクト先を信用するので、リダイレクト先のログイン画面のデザインが見慣れているだけで信用することが多く、ID/パスワードが簡単に盗まれてしまいます。

OpenID導入におけるエンドユーザー・RPのメリットとリスクのおさらい

エンドユーザーとRPがOpenID導入によって受けるメリット・リスクはざっくりと以下のような感じです。

エンドユーザー

メリット

1. 対応RP上では常に一つのログインフォームからログインするだけでよく、複数のアカウントを管理する必要が無い。

リスク

1. 1つのアカウントで様々なサイトが管理できることにより、その１アカウントの価値があがり、紛失リスクが大きくなる。
2. フィッシング詐欺にひっかかる危険性が高くなる。

RP

メリット

1. ユーザーにアカウント登録をしてもらう敷居が下がり、ユーザーを集めやすい。
2. 認証されたOPの認可をおこなうだけでユーザー登録を完了できる。
3. 提供するサービスにもよりますが、基本的にはユーザー情報を保持する必要が無くなる。

リスク

1. エンドユーザーがOP側のアカウントを紛失した際、RPのエンドユーザーもアカウントも道連れとなる。
2. エンドユーザーはフィッシング詐欺に引っかかりやすくなる。
3. RP側ではフィッシング詐欺に対する対策は立てづらい。
4. OP側のアカウントでエンドユーザーがフィッシング詐欺にあった場合RP側のアカウントも同時に危険にさらされる。

まとめ

現在のところ、ユーザーもあまりOpenIDに慣れていないようですし、 一見あまりメリットのないように見えるOpenIDなのですが、 ユーザー登録を推奨するサイトではその敷居を下げることができ、さらには今後課金までできるよう検討がされています。
そろそろ対応を検討してみてはいかがでしょうか。

livedoorでは辛抱強く動向を見守れるディレクターも募集していそうです。