事務局メンバーによる、OpenID関連のあれやこれや
以下、OpenID Foundationのブログポストからの翻訳転載です。
--
Gallupによる調査によると、近年では、自宅への不法侵入を心配する人よりも、オンラインアカウントがハックされることを心配する人の方が多くなっています。オンライン上でのデジタルな生活空間が広がれば広がるほど、攻撃者は我々の個人情報を盗むモチベーションを高め、相互に結びついたWebサービスやアプリの関係性を悪用して、あるアカウントから次のアカウントへと侵入を続けます。
攻撃者は往々にして、ある個人が各サービスプロバイダにまたがって所有する複数のアカウントをターゲットにします。これは一般的ユーザーがすべてのインターネットサービスに対して数種類のメールアドレスしか登録しないことを攻撃者が知っているからです。例えば、あるソーシャルネットワークではパスワードリカバリー用の情報を登録済メールアドレスに送ったりしますし、ある写真共有サービスにログインするために該当ソーシャルネットワークアカウントが利用できたりします。このような状況では、サービス同士の結びつきを悪用され、ある単一の情報漏洩がその他のサービスでのアカウント詐取を引き起こすことも考えられます。
OpenID Foundationでは、このような現状を鑑み、アカウント保護のため事業者同士が共同で取り組むことを決定しました。Aol, Confyrm, Deutsche Telekom, Google, LinkedIn, Microsoft, Nomura Research Institute, およびPing Identityが合同で、あるアカウントがリスクにさらされている場合の早期警戒システム構想を打ち出しました。
この Risk & Incident Sharing and Collaboration Working Group (RISC) イニシアチブは、複数プロバイダにまたがったアカウント不正アクセスを防止し、不正アクセスがあった場合には相互に協力してアカウント回復を行うための標準仕様の構築を初期ミッションとしています。
RISCワーキンググループは、オープンなコラボレーションを通じて、インターネット業界全体としてアカウントハイジャックのインパクトを大幅に低減するメカニズムを構築することを目指します。そのためにまずは個々のアカウントごとに発生したセキュリティイベント (ある特定のアカウントが不正アクセス疑いにより停止された等) の共有にフォーカスします。また同時にユーザーのプライバシに与える影響の最小化も考慮します。なお、マルウェアやその他のシステム/ネットワークレベルの攻撃に関しては、RISCワーキンググループでは扱いません。