ドコモのメールトラブル約１万９千人実害
配信元：産経新聞　2011/12/27 19:14更新
[URL]
----

　今更感はあるが、現実問題でもちょっと気になったので、専門ではないため少々外れているかもしれないが、一般人としての視点で書いてみる。

　この問題、専門過ぎて一般の人にはよく判りづらいと思うが、リアルで考えると「よくある話」だと思う。
　簡単に言えば、今回の方法は、「本人確認」を『常に』行うのではなく、最初に本人確認をしたら後は全て『引換券』で処理するという方法だったということだ。

　例えば注文と商品ができあがる間にタイムラグがある場合、「注文時」には『引換券』をもらい、後からその『引換券』で商品を受取るという事がよくある。この場合『引換券』さえあれば、それが『真の購入者』であるかどうか問わず商品を受取れるのが一般的だ。

　予約商品などでも「引換券」を持って家族などが取りに行ったり、フードコートなどで、注文は奥さんがするけど取りに行くのは「引換ブザー」を持った旦那、という形は言われてみればよくある話だろう。
　またレンタルビデオなども「引換券」（会員証）を持っていれば、「本人」として借りる事ができる。

　実際、住民票などですら、このよう方法で行われている地方自治体が多い。
「申請時」には本人確認を行なうが「取得時」には「引換券」で引き渡す。このような方法がよく見られている。

　比較的簡単に構築できる方法のためリアルではよく使われているのが判るだろう。

-----
　ところが、実はこの方法には問題が一つだけある。

　それは『「引換券」が正当な理由によって所有されている』という事が比較的高い精度で「推定」できる状況でなければいけないという事だ。つまり「引換券」を故意・過失を問わず他の人が取得できてはいけない事が要求される。

　このことは、実は「写真なしの保険証」などを単独で「引換券（本人確認資料）」として使う事が、今は認められなくなっていることにも繋がっている。
　「写真なしの保険証」が「不正取得される」事例が多くなったために「正当な理由で所持している」と「推定できなくなった」のだ。

------
　さて、今回はその「不正取得」がドコモの方法上で大量発生したのが原因らしい。

　ドコモが『ＩＰアドレス』という「引換券」を回収せずに、他の人にも同じ「引換券」を配ってしまった。
　結果「間違った引換券」が広く流通してしまい、ユーザーが迷惑を蒙ったというのが真相だ。

　リアルであれば「取りに来る人」の挙動が目に見えるので「怪しい挙動」や「関係者かどうか」などが視認できるため、意外とある程度のセキュリティが保たれている。また一回一回の取引に結構時間がかかるので、被害の範囲においても小規模で済む。

　ところがネット世界は「電子データ」のみの世界であるため、この「視認」というセキュリティはまったく通用しない。また一度に大量の処理を行う以上、一度のミスで大量に問題が発生する危険がある。

　そのため一般的にはこのような方法を組む事はやらないそうだ。

-----
※このあたりは高木浩光氏のブログなどを読んで自分で組み立てた意見のため、確性は欠いているかもしれないので、正確に理解したい方は、次の記事などをお奨めする。

高木浩光＠自宅の日記
2011年12月29日「spモードはなぜIPアドレスに頼らざるを得なかったか」
[URL]

とある技術屋の戯言
2011年12月22日「spモードメール障害は設計ミス」
[URL]
-----