Yahoo!がOpenIDの発行を開始したことで、OpenIDに対応するサイトが増えてくるのは確実なんだろう。

最近はOpenIDや認証APIを利用するサービスが増えてきていて、それらのサイトではYahoo!やlivedoorやはてなのIDでログインすることができる。

ログインする際にはID発行元のサイトのログイン画面が表示されるようになっているので、悪い人はそこに目をつけてフィッシング詐欺のサイトを立ち上げるんじゃないかと思う。

フィッシングの流れは、OpenIDとフィッシング - Yet Another Hackadelicに紹介されている。

1. ユーザーは悪意のあるRP(Consumer)サイトに行くとOpenIDっぽぃログインフォームがある
2. ユーザーはそのログインフォームに自分のIdentifier URLを入力
3. 悪意のあるRPはユーザーのOP(IdP)に良く似たFake OPにリダイレクトさせる
4. Fake OPはユーザーにユーザー名とパスワードを求める
5. ユーザーはいつものOPとの違いに気づかずパスワード入れちゃう
6. Fake OPはユーザーのアカウント情報を入手出来る

おそらくフィッシングに引っかかってしまうようなユーザは、そもそもOpenIDを理解できないからOpenIDを使う可能性はまだ少ないだろう。

しかし、今後ますます多くのサイトでOpenIDや認証APIが使われるようになると、Yahoo!以外のサイトでYahoo!のログイン画面が表示されることが当たり前となり、フィッシングしやすい環境が整ってくることになる。

ユーザが心がけておかなければいけないことは何だろう。「正体不明なサイトにはログインしない」ということか。サイトを提供する側も確実に身元を明かしてユーザに信頼されなければならないだろう。

Yahoo!は以前からフィッシング対策としてログイン画面に「ログインシール」を設定するように勧めているが、一体どれくらいのユーザが危険を認識して設定しているのだろうか。

そういう危険性はあるけれど、OpenIDや認証APIが増えるのはサービスを作る側としてはありがたいことなので、ユーザに対しては危険性と利便性の両方をアピールしていかないといけないと思う。