Passport,.NET Passport
Microsoft 社が1999年に始めた電子決済用認証サービス,または Microsoft や外部のサービスプロバイダーによって提供される有料または無料の多様なサービスへの一般の入口。
認証ゲートウェイとして機能し,サイトごとに個人情報を入力しなくてもウェブサーフィンできる。
シングル・サインオン認証システムで,1つの ID でいろいろなウェブサービスにアクセスでき,サービスごとにそれぞれのユーザー ID やパスワードを入力する必要がない。
収集されたユーザー情報(名前,電話番号,クレジットカード番号など)はマイクロソフト社のコンピューターに保管される。
同社はドット・ネットサービス構想の要に据えており,その戦略と,MSN の中核をなす登録制の決済サービスとなり,MSN Messenger や Hotmail サービスに使われる。
また「連合」モデル,「プラットフォーム・サービス」とも呼ばれ,
サイトのユーザーが本人かどうかを確認する,便利で安全な方法として,商取引を行なっている提携先を中心に利用を勧めている。
Single Sign-In と Wallet サービスで構成され Kerberos 認証システムを組み込み,
消費者がウェブサイトへのログイン時に使用する。
ユーザーがいったん登録すると,1回ログインするだけで,ホットメールその他の Passport で認証済みのあらゆるサービスやウェブサイトに即座にアクセスすることができる。
また Passport Wallet と Wallet System が含まれ,
ユーザーがどんなウェブサイトやサービスにアクセスした場合でも,1回行なった認証ログインを利用可能にする。
クレジットカード番号や住所などの個人情報を保存しており,ユーザーがこのサービスに参加しているサイトを訪問すると,各サイトは認証サービスに保存された個人情報を自動的に取り込んで処理できる。
2001年の時点でこれを利用する最大のサービスはマイクロソフト社のホットメールで,同社のオンライン個人金融サービス,『MSNマネーセントラル』サイトも使っている。
またイーベイ社も導入している。
マイクロソフト社によると,パスポート認証技術の導入作業に入っているサイトは70以上あり,この中には英プルデンシャル・バンキング社のオンライン銀行『エッグ・コム』も入っている。
エッグ・コムは米エントラスト社が開発した認証システムから,パスポートへの乗り換えを進めている最中だ,という報道がある。
Microsoft は1998年4月にファイアフライ・ネットワークを買収したさいに,これに必要な技術を入手。
ファイアフライ部門は1999年8月に閉鎖されたが,開発者の多くはマイクロソフトに残って,Passport の開発を続けた。
1999年3月に正式に開始され,その後 MSN Messenger などの製品で使用を義務づけるようになった。
2001年9月20日,Microsoft 社は一般の大企業だけでなく AOL のようなライバル社を含めたネットワーク事業者に対しても,利用を認める方針を打ち出し,
他の認証システムを提供する企業が,マイクロソフト社のプラットフォームと相互運用できるシステムを作成できるようにする試みを導入。
ユーザーが,企業ネットワークへのログインだろうが,オンラインショップで買い物でも,単一かつ安全なアカウントを持てるようなシステムの開発を目指している。
B2C と B2B のログイン・システムとしての利用を目指している。
ただし,競争相手が相互運用できる Passport と別の認証サービスを作成できるのか,あるいは競争相手は Passport を利用できるのみなのか,がはっきりとしていない。
Microssoft の動機は,『HailStorm』や『.NET』を推進したいためとも思われている。
2002年9月2日から,ユーザーがアカウント管理できる機能を追加し,プライバシーとセキュリティーを強化した。
これにより,偽の電子メールアドレスでアカウントが作れる,不要になったアカウントをユーザーが簡単にキャンセルできないという,ユーザーからの最大の苦情が解消するらしい。
新規登録すると,マイクロソフトから電子メールが届き,受領確認を出すと,アカウントを継続して使える。
セキュリティー強化のため,ログイン・ページや会員サービスなど,ウェブブラウザーで閲覧できる情報の全てが,認証コンポーネントを含まない別のドメインでホストされたサーバーに移された。
また,子ども向けの Kids Passport アカウントから正規の Passport アカウントへの切り替えも容易になる。
これは,登録手続きの際,ユーザーの生年月日を入力するフィールドに当日の日付を入力するケースが非常に多いことに配慮したもの。
2003年1月30日,EC と Microsoft は複数の大きな変更により,EU のプライバシー関連法規制に準じることで合意した。
2003年7月1日,Microsoft 社は脆弱性が公のメーリングリストで明らかになったため対策を施したと発表。
Hotmail のアカウントで,一定期間経過したアカウントの一部が,乗っ取られる可能性があったというもの。
Hotmail のアカウントを4年以上所有し,かつ使用していた利用者にのみ影響する。
「秘密の質問とその答え」というパスワードとは別の認証機能の脆弱性を利用して,パスワードを任意のものに変更できたらしい。
登録・ユーザー数は,2001年の時点で1億6500万人が登録している。
ユーザー数は,2001年の時点で200万人以上,2001年8月 700万人,2002年2月 1400万人へと増加。
その理由は,Hotmail,Windows XP,Microsoft Messenger,などのサービスを利用する際の必要条件とされたためらしい。
マイクロソフトは,このサービスの利用者を増やすのに苦労している。
消費者の大半は,Passport などのようにオンライン ID と認証アカウントを使うサービスに対して疑念を抱き,ユーザーの多くはしかたなくアカウント登録したのであって,必ずしもその ID を使っているわけではないらしい。
Microsoft は2001年11月初めから同年12月20日までの間,Passport Express Purchase を使って100ドル以上の買物をすると,小100ドル買うごとに20ドル,合計で最大100ドルの割戻しが得られるという,販促キャンペーンを行った。
このアカウントに登録するよう勧める手順が表示されるのは,ユーザーが XP で2回目にインターネットに接続する際と,その後4回だけ接続時に表示される。
Passport サービスのセキュリティ問題
2002年 FTC がセキュリティおよびプライバシー問題を取り上げ,向こう20年間同システムの監査を受けるよう求めている。
8月8日,FTC と Microsoft はパスポートのセキュリティーを強化し,ユーザー情報の収集と利用の状況についてこれまで以上の情報開示を義務付けるという内容で和解。
和解条件のなかには,Microsoft は「向こう20年間にわたり個人情報保護のために十分な予防措置を取り,これを遵守しなかった場合には,1つの違反事項に対し最高1万1000ドルの罰金を払う」との条項があったという。
また,どれだけの個人情報を収集するのか,登録済みの2億件以上のユーザーのデータ利用方法について,正確に伝えることに同意。
さらに,2年ごとに独立した専門家からセキュリティー・プログラムについて証明を受ける義務も明記している。
10月11日,ソースコードを一部公開すると発表。
2003年5月8日,Full Disclosure への投稿で,ユーザーのパスワード書き換えが可能な脆弱性の存在が公になったため対策が施された。
パスワードのリセットが必要な場合に,アカウントとメールアドレスを入力すると,パスワードをリセットできる URL を掲載したメールが送信されてくる機能を悪用したもの。
これを発見したパキスタンの研究者 Muhammad Faisal Rauf Danka(ムハンマド・ファイサル・ラウフ・ダンカ)氏は4月12日以降,10回以上にわたって Microsoft に連絡したが返事はなかったらしい。
セキュリティーホールは2002年9月には存在しており,emailpwdreset という文字列を含む特定のウェブアドレスを入力すると,どのパスポート・アカウントでも乗っ取ることができたらしい。
2003年5月15日,調査会社の Gartner は,8日に深刻なセキュリティホールが発覚したことを浮け,.NET Passport のユーザー認証は信頼性に欠け,金融機関などの企業に対して直ちに同サービスの使用を停止したほうが良いとの見解を示した。
Passport Manager Licensing Program
Passport のソースコードを公開するプログラム。
企業,学者,開発者,政府などにライセンスされ,商業的利用の場合には有償で,また場合によっては無償で閲覧できる。
Passport Password Quality Meter
Passport の機能で,ユーザーはパスワードの強度を容易に強化できるようになるらしい。
Single Sign-In
Passport のサービスの一つで,オンラインサービスを受ける際にユーザー登録と認証手順を簡素化できるシステム。
ID 名とパスワードを登録しておくと,対応サイトに ID 名とパスワードの入力だけで入れるようになり,サイトごとの個人情報登録が必要なくなる。
Wallet サービス,パスポート・ウォレットまたはウォレット・システム
Passport のサービスの一つで,オンラインショッピングのための電子財布機能。
クレジットカードや住所など電子商取引サイトを利用した個人情報が保存され,本人だけがアクセスできるとされている。
このシステムに対応したサイトで買い物をした場合に,即座に支払いの手続きができる。
2001年10月に重大なセキュリティーホールが発見された。
Passport Express Purchase
Passport と連動するショッピングサービス。
ユーザー認証と電子財布の機能がある。
MSN Wallet の導入に伴い2003年3月で停止する。
Passport のセキュリティーホール
Passport の一部である Wallet に重大なセキュリティーホールが見つかり,2001年11月2日主要サービスのバーチャル・ウォレット機能を停止し,提携先に情報の提供を開始した。
それは相手に特別な仕掛けを施した Hotmail のメッセージを開かせるだけで,
パスポートが利用するブラウザーのクッキーを盗み,ウォレットに入っているメール受取人のクレジットカード番号や住所などの情報を入手できるというもの。
このハッキング法は、2つのクロスサイト・スクリプティング脆弱性を利用し,
それと、Hotmail にサインインしてから最大15分間、ユーザー認証が Wallet などの Passport の各サービスに拡張されるという事実を組み合わせたもの。
ユーザーがサインイン後15分以内に特別に工夫された電子メールを読んだ場合、それに含まれているコードがそのユーザーのクッキー(を取得。
攻撃者は取得したクッキーで、この15分以内に Passport の他のサービスにアクセスできるという仕組み。
このとき,Hotmail の HTML フィルタリングとクロスサイト・スクリプティング,そしてパスポート・サーバーの設定に問題が発見された。
Microsoft 社はこれ以外にも,ソフトウェア・タイマーに修正を加え,パスポートのユーザーがウォレット・サービスにアクセスを試みるたびに,必ずパスワードの再入力を要求されるように変更した。
パスポート最大のポイントとなっている「シングル・サインイン」も,大きな技術的弱点だ。
2000年,米AT&T社の研究員たちが出した報告書は,マイクロソフト社のシングル・サインイン・サービスについて,「ユーザーにとって大きなリスクを抱えており,パスポートには疑いの目を向けるべきだ」と警告している。
マイクロソフト社はその後,AT&T社の報告書で指摘されたバグをすべて修正した。
その後,パスポートサービスに本質的な欠陥があるという研究員たちの結論を軽くあしらうとともに,未来の新しいセキュリティー機能を約束する回答書を出した。
Windows XP には,この回答書で約束した内容が含まれている。
これでは認証プロセスをブラウザーから切り離し,OS に組み込むことによって,パスポートのサインイン・システムのセキュリティーを向上させようとしている。
戻る 英語『P』,最初のメニュー