OAuth 2.0 の implicit grant flow を認証に使うと、車が通れる程どてかいセキュリティ・ホールが開くよ、と言う、ジョン・ブラッドレー氏[1]による良記事。コメントも読み応えあります。ちょっとチェックした見たところは、全滅。RP側を治さなきゃいけないから、とっとと公開アナウンスしたほうが良いのでしょうね。いちいちコンタクトしてられないし。

The problem with OAuth for Authentication. | Thread Safe

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro…

英語読みたくないという人のために簡単に解説すると…

OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。

カット＆ペーストアタックが可能だからです。

OAuth 認証？は、図１のような流れになります。

図１ OAuth 認証？の流れ

一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。

Site_A が実は悪いサイトだったとしましょう。すると、Site_A は、このユーザになり変わる access_token をまんまと入手してしまったことになります。

Site_A は、以後、このユーザになりすまして、任意の「OAuth 認証？」をやっているサイトにログインすることができます。

非技術者のためのOAuth認証(?)とOpenIDの違い入門 にも書きましたが、宛先の書いてない合鍵渡しちゃって、それを持っている人は誰でも私の分身ですと言っているわけですから当たり前ですね。

具体的に書くと、

Site_A はブラウザ(User Agent) UAを使って、Site_B に行ってログインしようとします。すると、上記と同じ手続で Site_B は「認証」をしようとします。UAは Site_B用の、攻撃者用のアクセストークン access_token_B をOAuth の Authorization Endpoint (Authz) からもらいますが、これをSite_Bには渡さずに、さっき取得した、ユーザ（＝被害者）のアクセストークン access_token_A を代わりに渡します。Site_Bがこのトークンが本当はSite_A用のものだと認識する手段はありません。なので、自分向けのものとして受け取ってしまいます。そして、Site_Bは GraphAPI に access_token を投げて、被害者のemail や user_id を取得しようとします。GraphAPI が、このSite_A用のトークンを送ってきているのがSite_Bだということを認識する手段もありません。したがって、GraphAPIは、Site_Aがリクエストしてきたのと同様に、被害者のemailやuser_idを送り返してしまいます。結果、Site_Bは、攻撃者を被害者としてログインさせてしまいます[5]。この流れが図２です。

図２ OAuth の access_token 置換え攻撃

これは、OAuth の state パラメータを使って XSRF 対策をしていても防げません。つまり、OAuth 2.0 の Client は、そのClient (サイト)にログインしたすべての人になりすまして、任意の他のOAuth 対応サイトにログインできるのです。

これは、OAuth の問題ではありません。

OAuth は Authorization Delegation Protocol = 認可をデリゲーションするためのプロトコルであって、ユーザ認証のためのプロトコルではないからです[5]。はっきり言って、楽ちんだからといって、それを単体で認証の代わりに使っている方が悪い。

実は、Facebook もこのことは気づいていて、signed_request というAPIを持っています。これはほとんど OpenID Connect と同じです[2]。Facebook でログインするためには、こちらを使わなければいけないのです。scope=signed_request ってやるんですよ。でも、使っている人、どれくらい居ますか？やってます？ほとんどは、access token を取得するための client side flow (Facebook のデフォルト） を認証の代わりにつかっちゃってますよね？！

Google の Identity Service の責任者の Eric Sachs 氏の、John の blog に寄せられた投稿も、このことの重要性を指摘しています。

OpenID Connect ではなく、単なるOAuth を認証に使っているIdPが巨大なセキュリティホールを生み出しているということに関する、ジョン・ブラッドレー氏によるすばらしい記事。これは、至るところで繰り返し言い続けなければならない。IdPに対しては、パートナーに対してセキュリティ上の問題を生んでいるということを理解してもらうために。RPsには、数行のコードをケチったために、自らのセキュリティを台無しにしているということに気付いてもらうために。数年前、Googleが現在のOAuthにあたる独自API「AuthSub」を公開したときは、まさにこの理由のために「認証に使ってはいけない」旨を、ドキュメントの最後に大きく掲載していた。[3]

問題の原因は、access_token の audience は resource endpoint であるのに対して、認証に使うトークンの audience は client でなければいけないというところにあります。だから、OpenID Connect では、client を audience にした id_token という、access_token とは別のトークンを発行しているのです。Facebook の signed_request も同じです。

ちゃんと治してくださいね、皆さん。治すってことは、OpenID Connect 対応するってことですよ！

大した工数じゃないんだから。数行を惜しんでユーザを危険に晒す[4]のは、ぜひやめていただきたいところです。

[1] John Bradley. アメリカ政府の ICAMの中の人で、IMI, OpenID, SAML のプロファイルを書いている。OpenID Foundation 理事。Kantara Initiative リーダーシップカウンシル議長。今回の記事は、OAuth 認証のプロファイルを書こうとして、「だめだこりゃ」ということらしい。

[2] signed_request は、Facebook 独自の署名方式をとっているのに対して、OpenID Connect は IETF JOSE WG で標準化されているJWSを利用しています。また、signed_request では、access_token 自体をsigned_request の中に入れていますが、OpenID Connect では、他のOAuth 2.0 サイトとの互換性を考慮して、外出しにしています。

[3] 原文: Great post by John Bradley on the huge security hole many IDPs have created by using plain OAuth, instead of OpenIDConnect, for authentication. We need to keep hammering away on this point both so IDPs realize the security problems they are creating for their partners, and to get RPs to realize how easily they can compromise their own security just because of the lack of a few additional lines of code. Years ago when Google first launched its proprietary equivalent of OAuth, called AuthSub, we had a big section at the bottom warning people not to use it for authentication for exactly this reason. (source: https://plus.google.com/u/0/102425765611793764729/posts/UKcZQzuvosQ )

[4] 乗っ取られたとしても何も起きないのならば良いのですが、ユーザの個人情報を貯めてたりしたら、当然個人情報漏えい事件になりますよね。

[5] 太字部分、2/3追記。

[6] （2/3追記）攻撃者であるSite_Aが、自分あての access_token を他の人に渡すのは、Site_Aが自分でアクセスした結果を渡すのと得られる結果は同じです。したがって、GraphAPI/Resourceの提供者の立場からしたら、Site_A用の access_token を Site_Bが使うことは、別にリスクが増加していることにはなりません。

そう、あの「しょ、しょ、しょうじょうじ。しょうじょうじの庭は…」というあれです。

歌詞行きましょう。

『証城寺の狸囃子』

詞：野口雨情＋中山晋平
曲：中山晋平

証　証　証城寺
証城寺の庭は
ツ　ツ　月夜だ
みんな出て　来い来い来い
おい等の友達ァ
ぽんぽこ　ぽんの　ぽん

負けるな　負けるな
和尚さんに　負けるな
来い　来い　来い
来い　来い　来い
みんな出て　来い来い来い
証　証　証城寺
証城寺の萩は
ツ　ツ　月夜に　花盛り
おい等は浮かれて
ぽんぽこ　ぽんの　ぽん

楽しい歌ですねぇ。（Youtube のリンクはこちら）。

ハイドンは御存知の通り終生交響曲を様々な実験を繰り返しながら作り続け、偉大にしていった大作曲家です。まさに、交響曲の父。そのハイドンの交響曲第89番は、後のベートーヴェンを予感させるという名曲です。冒頭の部分だけですが、お聞きください。

♫ ハイドン：交響曲第89番第1楽章

分かりました？のっけから「しょ、しょ、しょじょじっ！」

まぁ、ド・ミ・ソミド、ですからね。しかし、最初に聞いたときはあっけに取られましたね。みなさんはいかがでした？でも、とても良い曲なので、ぜひCDを買って全曲聞いてみてください。

Amazonで買う

ハイドン:交響曲第69, 89, 91番

「作者不詳ではなく、滝廉太郎作曲ではないか」「1901年の滝廉太郎のオリジナルだからそちらのほうが早いのでは」という話です。

「えっ？！」

と思って、Wikipedia 様にお伺いを立てたら、なんと瀧廉太郎作曲になっているではありませんか。

しかし、「へー、そうなんだ。」と思いませんでした。私が天の邪鬼だからではなく、曲のスタイルが瀧廉太郎とはまるで違うからです。

実は瀧廉太郎には、「雪やこんこん」という曲があります。「こんこ」ではなく「こんこん」です。「雪やこんこ」の方（本当の題名は「雪」です）は、尋常小学唱歌（２）で有るのに対し、「雪やこんこん」の方は幼稚園唱歌[1]です。この曲集には20曲収録されており、中にはあの有名な「もういくつ寝るとお正月」の「お正月」も入っています。

「雪やこんゝゝ」　作詞：東くみ　作曲：瀧廉太郎

雪やこんこん、あられやこんこん
もっとふれふれ、とけずにつもれ
つもった雪で、だるまや燈籠（とうろう）
こしらへましょー、お姉様

雪やこんこん(midi)

全く別の曲ですよね。こちらは、しっかり瀧廉太郎スタイルでございます。
「箱根の山は〜」と共通するものがありますよね。これと、尋常小学唱歌の「雪」と、混同されているようです。

というわけで、wikipedia も直しておきました。

なお、ややこしいことに、瀧廉太郎には「雪」という歌曲もあります。明治３３年（１９００）２１歳のときに発表した、組歌『四季』の一曲です。
構成は次のとおりです。

1. 花 （詞・武島羽衣。ソプラノ・アルト・ピアノ伴奏）
2. 納涼 （詞・東くめ。独唱・ピアノ伴奏）
3. 月 （詞・瀧廉太郎。ソプラノ・アルト・テノール・バス）
4. 雪 （詞・中村秋香。ソプラノ・アルト・テノール・バス・ピアノとオルガン伴奏）

「花」は大変有名なあの、「春のうららの隅田川」で始まる曲です。この4曲目が「雪」なわけです。あまり聞いたことはないのではないかと思います。

「雪」
詞：中村秋香
曲：瀧廉太郎

一夜のほどに　野も山も
宮も藁屋も　おしなべて
白金もてこそ　包まれにけれ
白珠もてこそ　飾られにけれ
まばゆき光や　麗しき景色や
あはれ神の仕業（しわざ）ぞ
神の仕業ぞ　あやしき

この「四季」は実は日本の西洋式音楽史では大変重要な作品でして、邦人によって書かれた、初めての芸術的西洋音楽なのであります。それまではせいぜい唱歌しかなかった[3]ところに、突然、全く無名の作曲家によってこのような曲が発表されて大変驚かれたようです。詳細は、現代心理研究会の滝廉太郎の歌曲「雪」（組歌「四季」）についてに詳しいので、ぜひご覧になられることをお勧めします。なお、この頃の曲は大変西洋音楽の影響が強い[2]です。また、正直、「そこは違うだろ」的なところもまま有るのですが、当時の状況から考えると、驚くべき曲であることには変わりありません。

では、組歌『四季』お楽しみください。

[1] 共益商社編『幼稚園唱歌』(共益商社楽器店)明治三十四年七月発行
[2] ドイツ留学から帰国後、死の前年に書かれた「荒磯」などは、ドイツ歌曲と日本の浄瑠璃が融和したような所があり、非常に面白いと思う。残念ながら非常に短い曲だが…。
[3] 組歌「四季」を出版するにあたって、瀧が巻頭にみずから 「歌曲の殆どは学校唱歌であり、外国の曲に日本語の歌詞をはめ込んだものである。その歌詞は原曲の内容と合わないものが多い。そこでこのたび、日本語の歌詞に作曲した作品を……」と記している。

今回問題になっているのは、斎藤容疑者が、大阪の整骨院で働くときに使っていな名前「吉川祥子」名義の健康保険証を取得し、これを使って銀行口座などを開設していたことです。

吉川祥子名義健康保険証。これは、協会けんぽのものだが、最初は政管健保の保険証として2000年8月に発行されている。

報道等によると、この健康保険証が最初に取得されたのは2000年8月[2]とのことですので、当時は政管健保として発行されていたことになります。

保険証発行のプロセス

では、保険証の発行はどのようにして行われるのでしょうか？

全国健康保険協会（協会けんぽ）のサイトに行くと、その手続は、日本年金機構のサイトで説明されていることが分かります。これによると、被保険者を雇用している事業者が、【被保険者資格の取得・喪失、被扶養者関係届書】を提出するだけのように見えます。実際、記事[1]の中で、日本年金機構の広報室が以下のように説明しています。

「申請は『資格取得届』の提出によって行われる。この際、住民票や戸籍謄本の添付は必要ない。事業主が本人確認を済ませて申請することが制度の前提。虚偽申請には罰則（６月以下の懲役か５０万円以下の罰金）が設けられている」

【被保険者資格の取得・喪失、被扶養者関係届書】の中を見ると、氏名・性別などの他に、基礎年金番号(1997～）が原則必要だが、当時は必要なかったのでしょうか？まぁ、消えた年金問題から察するに、そのあたりの管理は杜撰（なければ新たに割り当ててしまうなど）だったんではないかと推察されます。当時は住基ネットはまだ稼動していないし、当然住民基本台帳との突き合わせしていません。申請書が提出される段階で、本人確認がされていることが前提の制度であると言えます。しかしながら、実際には中小企業では、本人確認が行われない場合が多かった[3]。

保険証を保険証として使う限り、これで問題は無い

では、これの何が問題なのでしょうか？

まず、健康保険制度の中での資格認定・識別手段としての保険証を考えます。

健康保険証が交付されるためには、その会社での勤務実績が必要になるので、そうやって作られた「アイデンティティ」と肉体の結びつきはかなり強いと言えます[4]。したがって、同時点で2枚取得などは困難です。夜も寝ないで働けば、2ヶ所に雇用されて2枚取得することも可能ではありますが、保険の給付は肉体に対して一回しか受けられないので、保険料を払うだけ損をすることになり、意味がありません。みなが保険料を払って、病気になった人がそのプールされたお金の中から給付を受けるという、健康保険本来の観点で言えば、これで十分と言えます。病院で治療を受けるのに、戸籍名を使う必然性はさらさら無いわけです。

悪いのは、保険証が意図しない用途、「一般的な本人確認」に使っている側だ

次に、健康保険制度の外での本人確認手段としての保険証を考えます。例えば、マネーロンダリングの防止（犯罪収益移転防止法）などです。

マネーロンダリングの手口はいろいろありますが、ここでは非常に単純な手口を考えましょう。当局にマークされている「田中実」さんが、別人の名前「鈴木茂」で口座を開いて、ここに裏資金を振りこませるというものです。これは、上記のような手口で「鈴木茂」名義の保険証を取得することで実現できます。保険証に写真がついていても同じ事です。

つまり、健康保険証というのは、本質的には健康保険制度の外側での本人確認には使えないわけです。しかし、それはそもそも意図された利用法ではないので、発行者が意図しない使い方をして本人確認をしている側のほうが悪いのです。犯罪収益移転防止法で使える本人確認書類とは、犯罪収益移転防止法の範疇で名寄せができる書類でなければいけないのです。保険証はそうではありません。

そもそも戸籍名でしか働いてはいけないのか？

「いや、そんなことはない。健康保険証がきちんと実名で発行されていればよかっただけだ。」という人も多くいます。そして、当時の社会保険庁の事務がダメだったのだ叩きます。

本当にそうなのでしょうか？

犯罪被害者予備軍（たとえば、DV旦那に追いかけられているなど）の人たちというのは一定数います。追われる立場の人です。しかし、警察は実際に被害者になるまで一般には事件として取り上げてくれません。本人からしたら、殺されてから事件として警察が取り上げるのでは遅すぎます。自分の身を守るには、逃げるしか無いわけです。そんな理由で、山奥の温泉宿に仲居さんとして偽名で住み込んで働いて子供を育てるというような人もいるようです。当時の社会保険事務所では、こういう人について、偽名であることを見通した上で、黙認して保険証を発行していたりもしたようです。戸籍名を強制すると、勤務先から漏れたりしますからね。人間味あふれる良い話ではありませんか。というか、これは、「正義」だと思います。杓子定規に規定を適用して戸籍名を強制し、犯罪被害者を産むのとどちらが良いのでしょうか？戸籍名でしか働いてはいけないというのは、あまりにも窮屈で、非人間的な世界なのです。

実際、ドイツでは仮名の利用が許されていますし、米国における実名とは、本人が通常使っている名前です。相手を騙して被害を産む目的以外であれば、何を名乗っても良いとのことです。

「パブロ・ピカソ」だって、「本名」は「Pablo Diego José Francisco de Paula Juan Nepomuceno Crispín Crispiniano de la Santísima Trinidad Ruiz Blasco Picasso y López」ですが、何しろ本人も覚えていなかった^{（要出典）}くらいですから、「パブロ・ピカソ」が実名でしょう。大体、「本名（戸籍名）」が苗字・名前の組み合わせというのは、世界に共通ではないのです。日本人の「本名」は単純ですが、世界全体がそうなわけではありません。

そもそも本人確認とは？

本人確認は常に戸籍名でとか、絶対確実にという意見が出てくるのは、「本人確認」の意味を本質的にわかっていないからだと思われます。「本人確認」とは何なのでしょうか？

ITU-T X.1254 | ISO/IEC DIS 29115 の定義[5]をひきます。

3.14 本人確認[Identity Proofing]

指定ないしは理解された保証の度合いで当該主体を識別するのに十分な情報を登録機関（RA)が入手、確認するプロセス [Process by which the Registration Authority (RA) captures and verifies sufficient information to identify an entity to a specified or understood level of assurance.]

つまり、本人確認をするという場合には、何の目的のためにどの程度の確からしさでやりたいのかを事前に決めて、それに向けて様々な情報を集めて確認しなければいけないのです。絶対的な本人確認など存在しないのです。保険証を保険証として使う場合には、上記のように、現状のプロセスで十分なのです。もっと言うならば、虚偽の申請をした場合の罰金は50万円ですから、損害が出たとしてせいぜい50万円程度の業務を想定していることがわかります。他の用途でも使いたいから、もっとしっかりやれ、というのであれば、「他の用途で使う人」がその費用を負担すべきなのです。でなければ、無理筋です。

また、「常に戸籍名で本人確認」することにすると、上記のように身体・生命の危険や、プライバシーの問題、言論の自由の問題など、様々な基本的人権の問題が噴出します。こういうことを言う人は、一体これらの課題についてどうしようと思っているのでしょうか？

さらに言うと、現在の日本では「本人確認」という言葉が、色々な意味で使われてしまっています。

1. 最初にその「人」に結びつく「口座」を作るときの「本人確認」
2. すでに存在する「口座」に「肉体」を結びつけるための「本人確認」
3. 「口座」に対するアクセス権限を確認するための「本人確認」
4. 他の人が「本人確認」をする時に使える「証明書」を作るための「本人確認」

などなど。ちゃんとした議論をすすめるには、これらをきちんと整理して使わなければならないのです。まぁ、ごちゃついているのは日本だけではありませんが、この記事を読まれたみなさんは、ぜひこれらを峻別して考えてみてください。いろんなことが見えてきますから。

[1] 美人元信者の健康保険証で波紋！“偽名”でも作れた, Zakzak, 2012/1/16 など多数。

[2] 日本経済新聞Web刊 2012/1/13 これに加え、掲載した保険証のコピーでも、資格取得年月日が平成12年8月1日になっている。

[3] 勤務先の整骨院は斎藤容疑者の保険証申請の際、住民票や運転免許証などで身元の確認をしなかったという。「大きな企業の健康保険組合なら転職の場合、前の組合から離脱した『資格喪失証明』の提出を必ず求める。しかし、事業主が中小企業だとこの手順が省略されてしまうことが多い」（社会保険労務士）と、申請段階で問題があったようだ。（出所 [1] 美人元信者の健康保険証で波紋！“偽名”でも作れた）

[4] はっきり言って、住民票と本人の肉体の結びつきよりもはるかに強い。住民票と本人の肉体を直接結びつけるものは実は本質的には存在しない。

[5] 本当は、ISO 24760-1 の方が良いのだろうが、それだと長くなるので 29115で。24760-1関連は別記事で書く予定。

まずは普通にインストールと設定：

1. Minimal Xpert をMinimal Xpertサイトからダウンロードしてきて、/wp-content/themes/ に展開。
2. ダッシュボード＞外観＞テーマ （/wp-admin/themes.php）で、Minimal Xpert を有効化。
3. ウィジェットを設定。
4. メニューを設定。（ちなみにこのメニューとは、サイトタイトルの直下に現れるメニューバーのこと。 ）”Menu”という名前のメニューを足して、そこに左側のpaneから適宜項目を足す。その上で、「テーマの場所」の「Main Nav」プルダウンで「Menu」を選択。
5. 「外観」の上に「Slides」が出ているので、そこでSlidesを追加。画像は「アイキャッチ画像」として追加のこと。ここで設定したスライドタイトルが、実際のスライドのキャプションとして使われる。
6. 左メニューの下の方に「MX Settings」というメニューがあるのでこれを開き、適宜設定。スライドのトランジションはここで一回設定して「Save Options」しないと反映されない。

英語だったらこれでお終いなのだが、このままだとトップページ他の自動要約がうまく働かない。英語だと、冒頭から50単語を抜き出してそれ以上は「Read More…」してくれるのだが、日本語だとだらだらと、下手をすると全文出てしまう。これは、「単語」を「スペース」で区切って判別しているからだ。これだと、日本語だと下手をすると50段落になってしまう。

さて、この抜き出しをしているのは minimal-xpert/functions/better-excerpts.php というファイルだ。これを改造する。

まず、11行目で ‘ ‘ で文を単語に分割して、12行目で単語数を数えるということをやっているが、日本語の場合これは意味が無い。文字数ベースでやるべきなので、これをコメントアウトして、全体の文字数を $tot = strlen($text) して取得する。

さらに、14行目で、出力「$output」を、for ループを $words 数回して作っているが、これも意味が無いのでコメントアウト。そのかわり、$words を文字数と考えて、mb_substr($text,0,$words) してやって作る。

以下は diff の結果。

11,12c11,13
< $text = explode(' ', $text);
< $tot = count($text);
---
> // $text = explode(' ', $text);
> // $tot = count($text);
> $tot = strlen($text);
14c15,16
< for ( $i=0; $i<$words; $i++ ) : $output .= $text[$i] . ' '; endfor;
---
> // for ( $i=0; $i<$words; $i++ ) : $output .= $text[$i] . ' '; endfor;
> $output.=mb_substr($text,0,$words);

さらに、minimal-xpert/post-entry.php を編集する。英語の場合は50単語で切っていたが、日本語では140文字できることにする。修正は２ヶ所。以下は diff の結果。

13c13
< <?php the_news_excerpt('50','','','plain','no'); ?>
---
> <?php the_news_excerpt('140','','','plain','no'); ?>
19c19
< <?php the_news_excerpt('50','','','plain','no'); ?>.
---
> <?php the_news_excerpt('140','','','plain','no'); ?>.

これでOK。

私の師匠の一人であり、世の中的には数学の優れた入門書を多数書かれていることで知られている。腎臓を病まれて長く、お見舞いに行かなければと思いながら延ばし延ばしにしていたのだった。５日の夜、ツイートしていたら、タイムラインにこの「集合・位相入門」が流れてきた。とても良い本ですよね、と返したら、訃報を受け取った。慌ててゼミの名簿に載っているメールアドレスに確認したら、ちょうど連絡を回しているところとのことであった。４日に、元旦に受け取った年賀状に返事を書き終わり、入浴されたあと、気分が悪いとおっしゃって、わずか２０分程後に息をひきとられたとのことであった。

松坂先生のご実家筋の箱根松坂屋にゼミで泊りに行ったことが昨日のように思い出されるが、よく考えるとあれから四半世紀も経とうとしている。時の流れるののなんとはやいことか。

今日の葬儀は無宗教葬であった。祭壇には松坂先生の写真と、白、ピンク、黄色の花が波打つように飾られ、「亡き王女のためのパヴァーヌ」がかけられていた。故人の意向であろうか。弔辞のあと、献花は「ブランデンブルグ協奏曲第４番」の明るい旋律にのって行われた。

先生を見送ったあと、遠くパリから戻ってきた同級生の遠藤君や長谷川さんとちょっと話をした。お二人に会うのも20年ぶりではないか。あたかも先生が引きあわせてくださったようだ。その後、大橋先生、長谷川先生とちょっとお茶をして帰途についた。

西武線のホームの寒さが見に染みた。

亡き王女のためのパヴァーヌ：

ブランデンブルグ協奏曲第4番

帰りに monoprix で mobicarte €10のを買って14桁のプリペイ番号をもらって、ホテルに戻ってから、「フランスでは1週間7ユーロでデータ通信し放題！/mobicarteの定額データプランを使ってみる」を参考にしながら設定に挑戦。

メニューが変わってしまっていて若干苦戦するも、なんとか設定できたらしく、3Gでモバイル通信もできるように。ふとみると、テザリングメニュー（一般＞ネットワーク＞インターネット共有を設定）も表示されているではないか！ついでに設定しようと思ったら、これは、www.orange.fr に行って追加設定をしなければならないらしい。ユーザ名は電話番号。パスワードはsmsで送られてきた。とりあえず放置。

ところが、翌朝になると

Votre crédit est épuisé. Vous devez recharger votre compte avant le 10/05/2012 pour conserver votre numéro de téléphone mobicarte.

Cliquez sur OK pour entrer dans votre espace clients :

なんて言われている。おかしい。元々€5入っていて、€10足して、€7 １週間データ使い放題 (Internet Max Semeine）に入った訳だから、€8残っているはずなのだが。

そこで、Orange のサイトに行ってみると、今までの使用経過が出てくる。

理由は、Internet Max には、メール（SMTP/IMAP/POP3）は入っていないからだということが 暫く調べて分かった。iPhoneだと、メールを止めようが無いので、これではダメだ。メールは別メニューであるので、まずはそちらからサブスクライブしないとダメなわけだ。

しょうがないので、Orangeのサイトに行ってリチャージに挑戦。一見できそうに見えたが、Verified by Visa から戻ってきたら

Une erreur technique est survenue pendant le paiement de votre commande, aussi la prise en compte de votre carte bancaire est actuellement impossible. Vous pourrez renouveler votre paiement ultérieurement. Merci de votre compréhension..

と言われてしまって完了できなかった。やはり、店で mobicarte を買ってやるのが妥当なようだ。

幸い、翌日引っ越した先の Le Meridien Etoile の売店でこれは買うことができた。Wannabe Geek Girl さんによれば、”Je voudrais recharge de mobicarte d’orange, 15 euros” （じゅぶどれるしゃるじゅどぅもびきゃるとどらんじゅ　、かんずーろ）と言えばよさそうなので暗記して言ったら、レジの方が日本人だったので、「Orangeの Mobicarte 用のリチャージを15ユーロ下さい」と日本語で言うだけで済んでしまった。

お金を払うと、次のようなレシートがもらえる。

このレシートに記載された14桁の番号を #124#39540095xxxx83# (x=伏字）のように入力すれば、チャージ完了。（レシート上は、#123# をダイヤルせいと書いてあります。これをするとメニューが出てきて、順次それに従って画面を操作してゆくのですが、なにぶん全部フランス語なので、#124#リチャージ番号14桁# の方が簡単だと思います。）

では、いよいよ、オプションプランの設定。

ダイアル画面で、#123# 「発信」とすると、次のような画面が出ます。（はじめにスクリーンキャプチャとるの忘れて、終わってから撮り直したので、金額はすべてが終了後の5.00EURを表示しています。）

そこで、「Reply」（返信^[1]）を押すと以下のように。ここで、1=Menu となっていますから、1を入力して右上端にある「Reply」を押します。

すると、

のようになりますから、「Reply」を押して、4=Vos bons plans （あなたにとって現在申し込み可能なプラン）を画面のように入力、「Reply」を押します。

その結果、次のような画面が出ます。

Replyを押すと次のような画面が出ます。今まずやりたいのはメールの定額プランの設定です。2=Vos messages は SMS でメールでは無いので、3=Votre multimedia を選択します。

出てきた次の画面の 5=Option Mail がメール定額ですから、Reply を押して、次の画面で選択します。

（スクリーンキャプチャとりそこないました。）Reply を押して、5=Option Mail ですから、5を入力して Reply します。すると、次のような画面が出ます。

e-mail 他を１ヶ月６ユーロで見ることができるようになりますというわけなので、ここは迷わず「Reply」して、次の画面では、1=Souscrire (申し込む）ですから、1を入力してReplyします。すると、次のような確認画面が出ます。

1=Valider （確認）ですから、Reply を押した次の画面で 1 を入力します。

で、Reply を押すと、あなたはメール定額オプションを６ユーロで申し込みました。これは、あなたのプリペイド金額から差し引かれますとでます。

もちろんOKですから、Reply して 1=Suite (次へ）を入力します。

これで完了。メールオプションは48時間以内に有効になります、と出ます。

一応念のため、Reply を押し、9=Accueil （トップへ戻る）を入力して

トップに戻ります。

次は、その他インターネットオプションです。（ちなみに、Exchangeはこっちらしい。）同様にして、4=Vos bons plans を選択します。

先ほど同様、Votre multimedia ですから、

3を入力します。

既にメールオプションは購入済みですから、メニューに出て来ません。

滞在が１週間を超えますから、4=Option Internet max を選択します。

すると、Internet と Orange World を１ヶ月９ユーロでサーフィンできますと出ますから、

1=Suite（次画面）を選択します。

なんでこんなにひつこくあれも出来ますこれも出来ます言うのかわかりませんが、色々言ってきます。なんか、画面数に法律の制限でもあるんでしょうかね。

文句を言っても始まりませんので、1=Souscrire (申し込む）を選択です。

どうやら月定額9ユーロオプションは、毎月申込日に自動更新されるようです。まぁ、プリペイドなので、お金入れてなければ更新されないと思いますが。

1=Valider（確認）ですから、ここは迷わず 1 を入力です。

すると、「Internet max に９ユーロで申し込みました。この金額はあなたの口座から引き落とされました。」と出ますので、

1=Suite （次画面）します。

すると、「あなたのInternet max オプションは48時間以内に有効になります。」と出ます。

8=Accueil （トップ画面へ）を選択して

終了です。

これ、48時間たたないと有効にならないかというとそんなことは無いようです。

Orange のサイト（www.orange.fr）に行って確認したら、すぐに有効になっていました。

ついでだから、Internet Max と Mail Option の詳細説明をコピペしておきます。

まずは、Internet 定額 (Internet Max):

メールオプション：

それでは、Happy Surfing!

[1] 私は海外にいるときには、言語を英語にして使っているので、Reply と表示されています。日本語だと、「返信」のはず。

本日付で OpenID Connect 仕様群が2月6日までの45日間の実装者ドラフト・レビュー期間に入りました。全てが上手く行けば、翌日から1週間の投票に入り、2月14日、そうバレンタインデーですね、に晴れて実装者ドラフトになります。

OpenID Foundation の仕様策定プロセスでは、ドラフトは次のような経過を辿ります。

ワーキングドラフト→実装者ドラフト→最終仕様

このための重要なステップです。

仕様群は、以下のリンクから読むことができます。

• http://openid.net/specs/openid-connect-messages-1_0-07.html
• http://openid.net/specs/openid-connect-standard-1_0-07.html
• http://openid.net/specs/openid-connect-basic-1_0-15.html
• http://openid.net/specs/openid-connect-discovery-1_0-07.html
• http://openid.net/specs/openid-connect-registration-1_0-08.html
• http://openid.net/specs/oauth-v2-multiple-response-types-1_0-03.html

OpenID Connect WG のページは、こちらにあります。

英文の正式アナウンスメントはこちらにあります。

コメントを出すには、

1. Contribution agreement ( http://openid.net/intellectual-property/ 参照）に署名して、 AB+Connect working group に参加する
2. 次のリンクから、WGメーリングリストに登録する→ http://lists.openid.net/mailman/listinfo/openid-specs-ab
3. コメントをMLに投稿する

投票をするには、OpenID Foundation のメンバーになる必要があります。登録は、メンバー登録ページから行えます。

それではみなさん、良いクリスマスを！

独自認証方式によるメールアカウント取得というのは、

(1) メールアプリがオフィシャルなものであることを独自方式で認証
(2) spモード接続を通じて、ユーザー情報を取得

というものらしいですが、詳細はわかりません。どうもこの辺に今回の鍵があるような気がしますが、どうなんですかね。上の図では、spモード接続を通じたユーザー認証をIPアドレスでしているように書いています。これは、記事などで読んだことからの類推です。こうしていると、今回の事象がおきます。登録処理、切断処理がきちんと完了しないと、直前にそのIPアドレスを利用していた人のメールアドレスが端末に設定されてしまうと。

もしそうだとすると、かなり良くないですね。 エラー処理をちゃんとしていない所が悪いという指摘もありますが、それ以前の問題として、認証の設計が根本的に良くないです。

良くない理由

1. IPアドレスという再利用される識別子を、ユーザー識別に使っている。
2. しかも、これをユーザー識別子としてだけではなく、アクセストークンとしても使っている。

まず、ユーザー識別子には、再利用されない識別子を使うのは基本中の基本です。OpenID 2.0 などのような、比較的セキュリティレベルの低いプロトコルでさえ、ユーザーが入力する識別子とシステムが認証用に使用する識別子を分けているのはそのためです。

しかし、100歩ゆずって、それは良いことにしたとしましょう。

ポイント２はいくら何でもマズすぎます。アクセストークンは、必ずユニークじゃなきゃいけないんですよ。それを使いまわせるようにしたら、後から使った人が前の人を成りすませるようになりますよ^[2]（←あ、これが今回起きたことか。）

まぁ、こんな馬鹿な事はおきていなかったことだろうと思いますので、ぜひ詳細な内容を公開していただきたいところです。ことセキュリティに関しては、オープンにしないと危ないですから。

[1] 吉永尚史他「2010 年スマートフォン新サービス・機能 ― sp モードのメールサービス― 」

[2] 本来は、登録処理の段階で、ユーザー識別子、行使可能者（audience）、有効期間、nonceなどに対して署名をかけたトークンを作成してクライアントに渡して、あとはコレを使って認証するようにすべきなんですよ。そうすれば、IPアドレスが変わったって問題なし。

（参考記事）

• 【重要】 ドコモ、spモードで障害発生。メールアドレスが別のアドレスに誤設定/表示されるトラブルも発生し、spモードサービスの多くが一時停止へ(2011/12/21)
• とある技術屋の戯言 – SPモードメール障害は設計ミス
• 「あってはならない」個人情報流出の可能性も――ドコモがspモード不具合の経緯を説明 – ITmedia +D モバイル (2011/12/21) ← これ、メールアドレスが個人情報で、それが流出したことが問題みたいに書かれているが、本文の方がよほど問題だ。なんか、個人情報保護、プライバシー保護を履き違えている。
• ドコモ、“他人のメアドになる”不具合は解消――10万人に影響 – ケータイ Watch

€24.95=€9.95(sim card) + €7.50 (電話料金) + €7.50 (その他プラン用クレジット）

インターネット／データはこのクレジットを使って購入する。プランは２つあって、

50MB/€2.50 と 150MB/€5

購入には、それぞれ *120# あるいは *121# とダイアルする。SIMは普通の大きさのSIM [1] なので、とりあえず IDEOS に突っ込んで[2]ダイアルしてみる。すると、USSDのダイアログが上がってきて、購入が成功したことがわかる。

早速ネットに接続しようとしたらうまくいかない。APNが全く設定されていないので、当然だ。そこで Google で Ortel APN で検索して出てきたページの値を入力したがダメ。よく見ると、oretelmobile.de だ。気をとりなおして ortelmobile.nl を開き、載っていた設定を投入したが、それでもダメ。ホテルにチェックイン後、sim を切って iphone 4s に突っ込んだら、KPN用のデフォルト設定が入っていたのでそれを使ってみたが、それでもダメ。そうこうするうちに電話会議が始まってしまったので、諦めて、電話会議（２つもあった）後にもう一度チャレンジ。ダメだ。一旦寝て、3時半に鐘の音で目がさめたのでもう一度気を取り直してチャレンジ。結果、成功した設定は以下のとおり。

APN Name: Ortel MMS
APN: protalmmm.nl
Proxy:
Port:
Username:
Password:
Server:
MMSC: http://mp.mobiel.kpn/mmmc
MMS proxy: 10.10.100.20
MMS port: 5080
MCC: 204
MNC: 08
Authentication Type:
APN: type:

Authentication Type が設定してあるとつながりません←たぶんこれが最初に繋がらなかった原因。iPhone も同じ設定でつながるが、こちらは Personal Hotspot / Tethering は利用不能（tethering の設定は投入できるが、開始のメニューが出てこない）。なので、IDEOSで使い続けるほうが便利かもしれない。（追記：IDEOSでも、結局 Tethering は、肩すかしで、動いているように見せかけて動いていなかった。）

ちなみに、時間があるなら街中の T-Mobile で買ったほうが安いようです。1GB/€10 だそうな。（追記：ただし、こちらもテザリングできない。）

[1] お店のお姉さんに頼むと切ってくれます。私は SIMカッターを持ち歩いているので、自分で切りました。

[2] このSIMにはPINロックがかかっている。デフォルトは0000。