参考としたURL

• Streamripperその後, OpenID認証の仕組み(想像) - ただのにっき(2005-10-20)
• OpenID - Wikipedia
• OpenID | 日経 xTECH（クロステック）
• 引越し業者を賢く比較！おすすめの人気サイト５選

OpenIDの仕組み

とりあえず上記URLを見て僕が理解したOpenIDの仕組みは非常に単純。クライアントが指定したサーバに対してサービスを提供しているサーバが認証を聞きに行くというだけ。つまりは、サーバ同士で認証を行うから、使用するアカウントはひとつでいいですよってのがOpenIDの利点であり単純に記述した仕組みだ。

OpenIDのセキュリティ上の恐怖

ひとつのユーザで複数のサービスを使用できる非常にすばらしいサービス「OpenID」っては僕は思えない。サーバ同士で認証を行うということは、認証をするサーバからはどのサービスからの認証がきたのかというのがわかる必要があるということだ。

たとえば、Aさんという人がいたとしよう。Aさんはよく海外旅行に行くのでANAの会員になっていた。ここで、ANAがOpenIDに対応していて認証先にmixiを選んだとしよう。Aさんから見れば単純に認証しただけの話かもしれないけど、mixiからみるとAさんというユーザの認証がANAから行われたということがわかるのだ。つまり、mixiに登録されているAさんという人間の個人情報と、ANAにユーザ登録しているという情報の結びつきができるわけだ*1。これが複数のサービスでつながっていくとAさんという人の個人情報は今までに無いレベルで丸裸にされることになると考えられる。

結論

OpenIDの仕組みとhttpの仕組みを考えると僕は気持ち悪くてOpenIDを使用する気にはなれない。ましてや、個人情報のレベルの高いmixiなんていうサービスでOpenIDを使用するなんて気が狂いそうになる。それならば、すべてのサービスで同一のユーザ名と同一のパスワードを使用したほうがぜんぜんましだ。OpenIDについてどう考えてもどう調べてもこういう結論しかでないのが非常にいやだ。僕の勘違いであってほしい。

こういうことを考えると、mixiには今まで以上に強いセキュリティを持ってほしいし、悪意を持った社員が入社しないことを願いたい。悪意をもったmixiの社員が出現した瞬間にmixiでOpenIDを使用しているすべてのユーザの個人情報が危険にさらされることになるだろう。