勝手サイトでは、位置情報詐称だけでなくユーザ詐称も大きな敵

携帯の位置情報エンタテイメントサイトを作る際の強敵、位置情報詐称について以前取り上げましたが、勝手サイトで位置情報エンタメサイトを構築する場合、もう一つ強敵がいるように思います。
それは、DoCoMoでのセッションハイジャックによるユーザ詐称の問題です。

DoCoMoは、公式サイトだとアクセスする各ページ毎にユーザの登録者IDを返してくれるI/Fが存在するので、ユーザが詐称される危険性は存在しません。
問題は勝手サイトです。

勝手サイトでは、DoCoMoはユーザの登録者IDは通知してくれず、代わりに端末IDを返すI/Fが用意されています。
端末IDでも、機種変した場合他人になってしまうことや、端末を譲渡した場合他人が同一人物になってしまう点に注意すれば、基本的には個人認証に利用可能です。
ですが、このI/Fが曲者で、このI/Fを通じてアクセスする毎にユーザに「端末番号を伝えてもよいですか？」とユーザに注意喚起するダイアログが出るので、全てのリンクに埋め込む事はできません。
にも関わらず、端末IDの通知はI/Fを通じたアクセス時にしか通知されないので、その後のアクセスについては、ログイン状態を保持しようとすると、自前でセッション機構を作って保持しなければならない仕組みになります。
さらにDoCoMoはクッキーが使えないので、そのセッションIDはURLに埋め込むより他に方法がありません。
勢い、セッションIDが漏れればセッションハイジャックの危険が存在することになります。

これについては、私の仕様確認不十分や、技術的手法検討不十分の可能性も考えていろいろ調査しましたが、私なんかより数倍数十倍上のクラスの技術者が多数在籍する会社のサービスなんかでも、余裕でセッションIDをコピーすれば他の端末からでもセッションハイジャックできてしまう状況だったので、間違いないと思います。
もちろん、これは仕様上回避しようがないことですし、また当然、その中でハイジャックの可能性を極限まで避けるようセッションの時間制限を設けたり、いざハイジャックされても被害を最小限に抑えるよう、登録情報の変更等センシティブな部分へのアクセスは事前にID/PWの再入力を促す等、最大限のセキュリティ施策が打たれています。
自分から好き好んで、セッションハイジャックしてもらうためにセッションIDを漏らすような奴もいないでしょうから、これはこれである程度のセキュリティは保たれているといえます。

しかしながら、位置情報を使ったゲームサイトでは、話が違ってきます。
やれブログだ、SNSだ等だと、自分のセッションを乗っ取られてもユーザに何の得もありませんが、位置情報エンタメ・ゲームサイトでは、セッションをわざと乗っ取らせて自分の分身をたくさん作った方が、明らかに有利になります。
複数の端末から同時に「自分」としてアクセスし、別行動を取らせて別の場所に同時多発、という状況を作った方が、ゲームで有利な立場になるわけです。
セッションIDに時限を設けても、URLを表示してセッションID部をコピペする等一瞬ですから、詐称に加担する仲間が居れば、すぐにでもメールで広めて自分の分身をいくつも作れるわけです。
かといって、セッションIDをコピペする時間もないほどセッションの有効時間を短くすれば、今度はまともにゲームとして成り立ちません。
この問題は、もう少し検討してみる必要がありますが、今のところ防ぎようがないように思います。

実際、過去私がこちらのゲームを前管理人として運営していたころ、ユーザの機種変やキャリア変時に便利だろうと単一アカウントに複数の端末を割り当てられる仕組みにしていたところ、見事に複数人でアカウント共有されて、不正されたことがあった（まあ、当時の俺は「不正ではなく仕様、マターリやろうよ」とか逃げてましたが）。
それと同じ状況が、DoCoMo勝手サイトだとセッションIDを用いてできてしまい、防ぐのは非常に困難になります。

というか、位置情報詐称問題と回避法を紹介したの前回のエントリと違い、今回は問題の紹介だけで、回避法は私もまだ思いついてません。
何かよい案を思いつかれた方がいましたら、共有いただければ嬉しいです。