今回見てきたのは兵器使用の「認可」が先にあり、その後「認証」するというプロセスだったが、通常は「認証」した後で、使用を「認可」するというプロセスを踏むことが多い。これは諸君も経験したことがあるだろう。
TwitterやFacebookなどのSNSにある「ソーシャルログイン」もその1つだ。SNSに連携したアプリケーションを、IDやパスワードの登録が不要で使用できるようになる機能である。
仕組みはこうだ。
まずSNSで、諸君がそのアカウントの持ち主かどうかの「認証」を行う。そして、その連携アプリケーションにSNSの機能を使用させてもよいか「認可」するための画面が表示される。ここでOKすれば、そのアプリケーションにSNSの機能(の一部)を使用できるよう「認可」される。
Twitterでよく、スパムアプリケーションにアカウントを乗っ取られ、大量のスパムツイートをしてしまった……といった事例があるが、これはスパムアプリケーションに利用者自身が「認可」してしまったからに他ならない。
「認可」するアプリケーションが自分の思っているようなものか、信頼できる運営者かどうかは適切に見極めないといけない。
代理認証サービスを運営しているSNS側では、連携アプリケーションの安全性を保証しているとは限らないのだ。これはしっかりと覚えておこう。
これはTwitterだけではなく、FacebookやInstagramなど、どのSNSでも同様だ。このような代理認証サービスを安易に使うと痛い目に遭うので注意するように!
セキュリティ業界的に言えば、認可はもうちょっと違う意味に使われる場合も多い。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR