契約者固有ID
契約者固有IDとは、携帯電話などの端末からウェブサイトを閲覧する際に、サーバへ送信される識別子の一つです。狭義には、携帯電話の契約者ごとに固有のID(機種変更をしても契約者が同一であれば変更されないID)を指し、広義には端末ごとに固有のID(機種変更をすると変更されるID)を含む場合があります。各携帯電話キャリアによってその呼び方は異なり、利用方法や仕様も様々です。
これらのIDは、各事業者が独自に付与するものであり、国際移動体加入者識別番号(IMSI)や国際移動体装置識別番号(IMEI)といった、GSM/W-CDMA方式の携帯電話全般で利用されるIDとは異なります。また、IDの形式、文字数、使用される文字種別なども、各事業者によって異なっています。
日本では、ウェブアプリケーションにおいて、ユーザが手軽にログインできる「かんたんログイン」機能を実現するために、契約者固有IDが利用されることがあります。この機能は、ログイン中に設定を有効にすると、ウェブアプリケーションがユーザの契約者固有IDをユーザIDと紐付けて記憶し、次回以降はID入力を省略できるというものです。ウェブサイトによっては、パスワードの入力も省略できる場合があります。
また、行動ターゲティング広告では、人々のアクセス履歴を収集するための一意なIDとして使用されています。しかし、この利用方法については、ユーザのプライバシー保護との関係で問題点が指摘されています。
携帯電話(クライアント)のキャリアによって、契約者固有IDの定義、機能、およびサーバでの取得方法は異なります。
ドコモでは、契約者固有IDは「端末製造番号」「個体識別情報」「ユーザID」「iモードID」など、複数の名称で呼ばれています。iモードにおいては、契約者固有IDとして3種類のIDが存在します。ユーザIDとiモードIDは、SSL環境下では取得できません。
iモードの公式サイトでは、URLの引数に「uid=NULLGWDOCOMO」の文字列を付加すると、ドコモのiモードゲートウェイが「NULLGWDOCOMO」の部分を契約者ID(ユーザID)に置き換えます。これは、契約者が機種変更を行っても変更されません。
また、HTMLの要素に「utn」属性を付加すると、端末製造番号を送信するかどうかの確認ダイアログが表示され、ユーザが送信を選択した場合、HTTPリクエストのユーザーエージェントヘッダに端末製造番号が付加されます。この番号は端末に固有なため、契約者が機種変更をすると変更されます。
さらに、URLの引数に「guid=ON」という文字列を付加すると、HTTPリクエストの「X-DCMGUID」ヘッダに、英数字7桁の契約者ID(iモードID)が付加されます。このIDは、契約者の機種変更では変更されませんが、名義変更、改番、iモード契約の解約によって変更されます。
auでは、契約者固有IDは「サブスクライバID」「EZ番号」などと呼ばれます。EZwebでは、ユーザが送信を停止する設定をしていない限り、全てのウェブサイトへのアクセスにおいて、HTTPリクエストの「X-UP-SUBNO」ヘッダに契約者IDが付加されます。このIDはSSL環境下でも取得可能です。
ソフトバンクモバイルでは、契約者固有IDは「端末シリアル番号」と呼ばれます。Yahoo!ケータイでは、ユーザが送信を停止する設定をしていない限り、全てのウェブサイトへのアクセスにおいて、HTTPリクエストのユーザーエージェントヘッダに端末IDが付加され、さらにHTTPリクエストの「X-JPHONE-UID」ヘッダに契約者IDが付加されます。
SSL環境では、ソフトバンクモバイルが提供するSSLゲートウェイを通して通信する場合に限り、端末IDと契約者IDを取得できます。SSLゲートウェイを通さない場合、IDは取得できません。なお、ソフトバンクモバイルでは、2011年6月末でSSLゲートウェイを原則廃止しており、同年7月以降はSSL環境での端末ID・契約者IDの取得ができなくなっています。
イー・モバイルでは、契約者固有IDは「ユーザID」と呼ばれます。EMnetで接続し、ウェブブラウザの設定で特定のProxyサーバを指定すると、HTTPリクエストの「X-EM-UID」ヘッダに端末IDが付加されます。このIDはSSL環境下では取得できません。
ウィルコムでは、契約者固有IDは「個体識別情報(UID)」と呼ばれます。ウィルコム公式サイト向けに個体識別情報を送出する仕組みがあります。
契約者固有IDは、ウェブサイト側で簡単に取得できます。このため、個人情報と紐付けられた契約者固有IDがサイトから流出すると、契約者固有IDを手がかりに個人情報が特定され、悪意のある者によって犯罪利用される可能性があります。
また、契約者固有IDはサーバによらず、端末(契約者)が同じであれば同じIDが使用されるため、Web上の複数のサービスの利用状況をマッチングさせて個人情報を収集される可能性があります。さらに、契約者の都合で契約者固有IDを任意に変更する機能は提供されていません。そのため、IDが悪用された場合には、契約者は契約の解約や機種変更で対抗せざるを得なくなり、無駄な労力や出費を強いられることになります。
契約者固有IDは、HTTPリクエストのヘッダに付与されるため、任意のHTTPリクエストを送信できるクライアントからは、任意の契約者固有IDの送信が可能です。ウェブマスターは、HTTPリクエストヘッダを参照することで、ウェブサーバにリクエストを送ったユーザの契約者固有IDを取得できます。この性質から、他人の契約者固有IDを入手した者は、容易になりすますことが可能です。
携帯電話のHTTPクライアントは悪意のあるHTTPリクエストを送信できないという前提に基づき、アクセス元のIPアドレスがそのキャリアのものであることを確認することで、悪意のあるアクセスを回避する方法があります。しかし、どのIPアドレスの範囲がどのキャリアに属するかは常に変化しており、信頼できる最新の情報に基づいてIPアドレスのチェックを行わないと、「かんたんログイン」機能を提供するウェブサイトは、なりすましアクセスを防ぐことができません。
各キャリアは、「IPアドレス帯域」として技術情報のウェブページに掲載していますが、これらの情報が必ずしもSSLで保護されているとは限りません。また、掲載されている情報が携帯電話からのアクセス以外を排除している保証はないため、これらの情報を基にしたIPアドレス認証には、なりすましアクセスを排除できないというリスクがあります。
これらのIDは、各事業者が独自に付与するものであり、国際移動体加入者識別番号(IMSI)や国際移動体装置識別番号(IMEI)といった、GSM/W-CDMA方式の携帯電話全般で利用されるIDとは異なります。また、IDの形式、文字数、使用される文字種別なども、各事業者によって異なっています。
用途
日本では、ウェブアプリケーションにおいて、ユーザが手軽にログインできる「かんたんログイン」機能を実現するために、契約者固有IDが利用されることがあります。この機能は、ログイン中に設定を有効にすると、ウェブアプリケーションがユーザの契約者固有IDをユーザIDと紐付けて記憶し、次回以降はID入力を省略できるというものです。ウェブサイトによっては、パスワードの入力も省略できる場合があります。
また、行動ターゲティング広告では、人々のアクセス履歴を収集するための一意なIDとして使用されています。しかし、この利用方法については、ユーザのプライバシー保護との関係で問題点が指摘されています。
各キャリアにおける取り扱い
携帯電話(クライアント)のキャリアによって、契約者固有IDの定義、機能、およびサーバでの取得方法は異なります。
NTTドコモ
ドコモでは、契約者固有IDは「端末製造番号」「個体識別情報」「ユーザID」「iモードID」など、複数の名称で呼ばれています。iモードにおいては、契約者固有IDとして3種類のIDが存在します。ユーザIDとiモードIDは、SSL環境下では取得できません。
iモードの公式サイトでは、URLの引数に「uid=NULLGWDOCOMO」の文字列を付加すると、ドコモのiモードゲートウェイが「NULLGWDOCOMO」の部分を契約者ID(ユーザID)に置き換えます。これは、契約者が機種変更を行っても変更されません。
また、HTMLの要素に「utn」属性を付加すると、端末製造番号を送信するかどうかの確認ダイアログが表示され、ユーザが送信を選択した場合、HTTPリクエストのユーザーエージェントヘッダに端末製造番号が付加されます。この番号は端末に固有なため、契約者が機種変更をすると変更されます。
さらに、URLの引数に「guid=ON」という文字列を付加すると、HTTPリクエストの「X-DCMGUID」ヘッダに、英数字7桁の契約者ID(iモードID)が付加されます。このIDは、契約者の機種変更では変更されませんが、名義変更、改番、iモード契約の解約によって変更されます。
au
auでは、契約者固有IDは「サブスクライバID」「EZ番号」などと呼ばれます。EZwebでは、ユーザが送信を停止する設定をしていない限り、全てのウェブサイトへのアクセスにおいて、HTTPリクエストの「X-UP-SUBNO」ヘッダに契約者IDが付加されます。このIDはSSL環境下でも取得可能です。
ソフトバンクモバイル
ソフトバンクモバイルでは、契約者固有IDは「端末シリアル番号」と呼ばれます。Yahoo!ケータイでは、ユーザが送信を停止する設定をしていない限り、全てのウェブサイトへのアクセスにおいて、HTTPリクエストのユーザーエージェントヘッダに端末IDが付加され、さらにHTTPリクエストの「X-JPHONE-UID」ヘッダに契約者IDが付加されます。
SSL環境では、ソフトバンクモバイルが提供するSSLゲートウェイを通して通信する場合に限り、端末IDと契約者IDを取得できます。SSLゲートウェイを通さない場合、IDは取得できません。なお、ソフトバンクモバイルでは、2011年6月末でSSLゲートウェイを原則廃止しており、同年7月以降はSSL環境での端末ID・契約者IDの取得ができなくなっています。
イー・モバイル
イー・モバイルでは、契約者固有IDは「ユーザID」と呼ばれます。EMnetで接続し、ウェブブラウザの設定で特定のProxyサーバを指定すると、HTTPリクエストの「X-EM-UID」ヘッダに端末IDが付加されます。このIDはSSL環境下では取得できません。
ウィルコム
ウィルコムでは、契約者固有IDは「個体識別情報(UID)」と呼ばれます。ウィルコム公式サイト向けに個体識別情報を送出する仕組みがあります。
プライバシー上の問題点
契約者固有IDは、ウェブサイト側で簡単に取得できます。このため、個人情報と紐付けられた契約者固有IDがサイトから流出すると、契約者固有IDを手がかりに個人情報が特定され、悪意のある者によって犯罪利用される可能性があります。
また、契約者固有IDはサーバによらず、端末(契約者)が同じであれば同じIDが使用されるため、Web上の複数のサービスの利用状況をマッチングさせて個人情報を収集される可能性があります。さらに、契約者の都合で契約者固有IDを任意に変更する機能は提供されていません。そのため、IDが悪用された場合には、契約者は契約の解約や機種変更で対抗せざるを得なくなり、無駄な労力や出費を強いられることになります。
セキュリティ上の問題点
契約者固有IDは、HTTPリクエストのヘッダに付与されるため、任意のHTTPリクエストを送信できるクライアントからは、任意の契約者固有IDの送信が可能です。ウェブマスターは、HTTPリクエストヘッダを参照することで、ウェブサーバにリクエストを送ったユーザの契約者固有IDを取得できます。この性質から、他人の契約者固有IDを入手した者は、容易になりすますことが可能です。
携帯電話のHTTPクライアントは悪意のあるHTTPリクエストを送信できないという前提に基づき、アクセス元のIPアドレスがそのキャリアのものであることを確認することで、悪意のあるアクセスを回避する方法があります。しかし、どのIPアドレスの範囲がどのキャリアに属するかは常に変化しており、信頼できる最新の情報に基づいてIPアドレスのチェックを行わないと、「かんたんログイン」機能を提供するウェブサイトは、なりすましアクセスを防ぐことができません。
各キャリアは、「IPアドレス帯域」として技術情報のウェブページに掲載していますが、これらの情報が必ずしもSSLで保護されているとは限りません。また、掲載されている情報が携帯電話からのアクセス以外を排除している保証はないため、これらの情報を基にしたIPアドレス認証には、なりすましアクセスを排除できないというリスクがあります。
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。