「宮川潤一」のまとめ - Togetter

あらすじ:
「SSLプロキシの仕様が不透明だから何とかして」→「何とかしました(します)」→「はえー」「神対応」

これぞリアルタイム・ウェブの典型例。裏では何人もの人が動いてくれたであろう事も忘れてはいけないけど、ソフトバンクは動き出すと異様に早いからあなどれない。
まあとりあえず、「NDA締結ぐらい当たり前・企業が秘密守るのは当然」「直接聞きに行くべき」「相手の立場で考えろ」とか言っていた人たちは頭でっかちにならず現実社会を直視すべきだと思った。

@HiromitsuTakagi : ひろみちゅたん

あらすじ:
「セキュリティには自信あり。詳細は内緒だけど信じて下さい！」→「簡単にUDID偽装できましたが・・」→「IDとパスを人に教えたのと同じだから何の問題でもないよ！」→外野「・・・何だったの、あの自信は。これってナチュラル？高度な目眩まし戦術？」

企業リスクマネージメントにおけるおおよそ想像できる最悪のシナリオを辿るソフトバンクモバイルCTO。今後の展開から目が離せません。
因みに宮川氏が(暗に)言うようにUDIDは秘密情報じゃないとすると他人のUDIDを使用したところで不正アクセス防止法にひっかからなくなる「かも知れない」ところがミソ。
個人的には、あれだけのやり取りは結局ナチュラルだったんだなあ、でないと戦術でこの反応はなかなか演技できないよなぁと思わざるを得ません。。。

微妙に関連URL:
カカクコムは情報をきちんと公開すべきだ - 記者の眼：ITpro http://bit.ly/a3Qjo8
今回との違いは高木さんが善意の第三者だったことと情報を提示してくれていることぐらいか。
iPad購入者のアドレス流出、原因はWebアプリケーションの脆弱性か - ITmedia エンタープライズ http://bit.ly/d2cy3b
情報セキュリティ基本方針 | ソフトバンクモバイル株式会社 http://bit.ly/9kmBsP

今後も動きあり次第更新する予定です

【追記】(2010/06/12)
午前の早い時間帯に当面の対策としてポイント履歴の閲覧を停止したとのことです

【追記】(2010/7/3)
UDIDを廃止してランダムIDを採用した電波チェッカーが公開されました。登録した位置情報の削除にも対応しているようです。
紆余曲折ありつつも結果的には大団円となりました。

@HiromitsuTakagi : ひろみちゅ

話の流れ:
「UDID使う意味無くね？」→「これ以上はセキュリティに関することなのでお話しできない (ｷﾘｯ」→ 外野「嘘つけ」

まあ普通のエンジニアの感覚ではUDID以外に他の認証で守ってるとか無理だし、負けそうになったから話打ち切っただけだよね、これ

【注記】
もしかして変な誤解が広まると嫌だからまとめます。
まず「SBMが内緒でUDIDを送信している」ということはありません。アプリの公式ページでも送信していることは明示されています(小っちゃいけど)。 http://mb.softbank.jp/mb/iphone/service/app/denpachecker/

論点のポイントになりそうなのは、
・自分のポイントした箇所を確認できるということは、他人のUDIDを知ることが出来れば偽装したリクエストを送って他人の情報を知ることが簡単に出来てしまうのでは？という疑い(認証の脆弱性)
・キャリアであるSBMが利用者の位置情報と端末情報(場合によっては契約者情報まで紐付くかも知れないが現時点では不明)を一括して入手していることに対するプライバシー上の懸念
・そもそもこの目的であればUDIDではなく、契約者とは何をしても紐付かないようなランダムなIDで十分なのでは、という指摘
・「セキュリティ保護上詳細は申し上げられない」という今日び小学生でも言わない台詞をCTOが発言している残念感

と個人的には理解しています。

【関連追加】(2010/6/8)
「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz

【追記】(2010/6/8)
ということで宮川氏がメールサポートへ投げ出されてしまいましたので本件のTwitter上でのコミュニケーションは(多分)終了です。お疲れ様でした

【追記】(2010/6/11)
まだ続く限りは更新していきます

【追記】(2010/06/11)
大方の予想通り詰んだ模様です

【追記】(2010/06/12)
偽装可能発覚後の反応は別リストへまとめます