不安しかない

au IDや、「dアカウント」にログインしようとしたら、なぜか回線認証で詰んで先に進めない。機種変更したら、これまで使えていたサービスに紐付けられたdアカウントの再設定で地獄を見た──。そんな経験、ありませんか? なぜなら、その背後には 「回線を持っているがゆえに、不便を強いられる」という、キャリア認証システムの根本的な問題 がちらついていたからです。

「dアカウント」にせよ、「au ID」にせよ、その 「King of ゴミ」 とも言うべき、回線認証の強要は、我々のデジタルライフを大きく阻害しています。ITmediaでも報じられたように、なぜdアカウントのUI/UXはこれほどまでに悪い評価で衆目の一致する所となっているのか。今回は、その根深い問題点、特に回線認証という 時代錯誤な仕組みが引き起こす弊害 に焦点を当て、なぜ我々がこれほどまでに不満を抱えているのかを徹底的に掘り下げていきます。

先ごろ、発表されたSBI住信の買収で不安を漏らす声が噴出しています。実際、ITmediaでも以下のような記事が書かれています。

なぜ、「dアカウント」は嫌われているのか 住信SBIネット銀行買収で、不安の声が上がるワケ

終わってるUser eXaust:キャリア認証の「糞」っぷり

私は家計簿アプリMoney Forwardでau PAYを含む複数の金融サービスを集約して管理していますが、その連携方法がユーザーに多大な「苦痛」をもたらしています。

Money Forward連携と「糞」なキャリア認証

まず、Money Forwardはau ID側からの適切なAPI提供がないため、不安定な「スクレイピング」でデータを収集せざるを得ません。これにより、au IDの認証が頻繁に切れてしまい、再認証の度に地獄を見ます。

この再認証プロセスが、まさに「User eXhaust」の極致です。

痛みしかないフロー

  1. Money Forwardでau Payからの認証切れを発見する
  2. おもむろに再認証を始める
  3. 認証しようとしたら、最初の壁、パスワード認証できないにぶつかる

  1. スマートフォンからパスワード認証を有効化しようとする
  2. スマートフォンアプリからは該当操作が見つからない
  3. wifiからは設定できない、回線認証の強制

糞そのもののキャリア認証

  1. パスワード認証の無意味化と強制的なSMS認証: au IDのパスワード認証は、わずか15分で自動的に無効化されます。さらに、パスワードを有効にしようとすると「悪用に関する警告」が表示された上に、時代遅れのSMS認証が強制されます。安全で便利な時間ベースの二段階認証(TOTP)は選択肢にすらありません。

  1. 回線認証の強制とWi-Fi切断の強要: パスワード認証が無効化されると、次に強制されるのは「Wi-Fiを切って、VPNをオフにしろ」という「愚劣な回線認証」です。安定したWi-Fiを切り、特定のモバイル回線で接続し直すという不必要な手間は、ユーザーに計り知れないストレスを与えます。

  2. 設定変更の困難さ: これらのパスワード認証に関する設定は、My auアプリには存在せず、Webブラウザからしかアクセスできません。しかも、そのWeb設定もスマートフォンからしか行えないという多重の制約があり、スマートフォンが手元にない状況では完全に「詰み」ます。

PayPay連携も「アホすぎる」

PayPayの連携方法も同様にユーザーを疲弊させます。Money ForwardとPayPayを連携させる際、API連携ではなく、スマートフォンアプリ間で「インテント」を飛ばすという、極めて非効率で不安定な方法を強いてきます。この理解しづらい手間は、金銭管理という重要なタスクにおいて、ユーザーに「アホすぎる」苦痛を与えています。

信頼性と安定性の問題:

アプリ間の連携は、アプリのバージョン、OSのバージョン、端末の設定など、様々な要因で不安定になる可能性があります。

バッテリー切れやアプリの不具合など、何らかの理由でPayPayアプリが使えない場合、連携自体ができなくなるリスクもあります。

テックジャイアントとキャリア認証の雲泥の差

GoogleやMicrosoftといった世界のテックジャイアントは、現在、パスキー、TOTP(時間ベースワンタイムパスワード)、フォールバックとしてのSMS、そして最終手段としての事前配布解除コードを組み合わせた認証基盤を標準としています。

これらの企業は、ユーザーがどのデバイス、どのネットワークからでも安全かつシームレスにサービスを利用できるよう、以下の点を重視しています。

  • フィッシング耐性の高いパスキーを基幹とする。
  • オフラインでも利用可能なTOTPを次点とする。
  • 利便性とセキュリティを両立させる。
  • 「回線認証」などという愚劣な認証を主要な手段として導入することはありません。

信用性が無い理由

  • 古い技術への固執: 時代遅れで脆弱性が指摘されているSMS認証を主軸にしたり、利便性を著しく損なう回線認証に固執したりする時点で、最新のセキュリティ脅威に対する認識が甘いか、対応能力が低いと見なされます。

  • 利便性の犠牲とユーザーへの負担: ユーザーに多大な手間やストレスを強いる認証システムは、結果的にユーザーがセキュリティ対策を回避しようとする行動を誘発しかねません。例えば、不便な設定を避けたり、パスワードを使い回したりするリスクを高めます。

  • 「技術的腐敗」: 認証基盤が「技術的腐敗」の状態にあるということは、システム全体の整合性や信頼性が低いことを意味します。このような基盤の上で金銭取引が行われているとなると、潜在的な脆弱性や予期せぬトラブルのリスクが懸念されます。

  • 透明性の欠如: なぜそのような不便な認証を強要するのか、なぜ最新の標準に準拠しないのか、という点に関して、ユーザーが納得できる説明が不足しているため、キャリアの「セキュリティを口にする言葉」が空虚に聞こえます。

  • 不整合な体験: 一方では「セキュリティ」を強調しながら、他方では非常に「不便で脆弱な」認証システムを提供しているという不整合は、ユーザーから見れば矛盾であり、結果として信用性を失います。