ソーシャルログイン

ソーシャルログインは、 Facebook、Twitter、Googleなどのソーシャルネットワーキングサービスの既存の情報を使用して、サードパーティのウェブサイトにログインするシングルサインオンの一種です。そのウェブサイト専用の新しいログインアカウントを作成する必要はありません。エンドユーザーのログインを簡素化し、ウェブ開発者により信頼性の高い人口統計情報を提供するように設計されています。^[1]

ソーシャルログインは、通常プラグインまたはウィジェットを使用して、1つ以上のソーシャルネットワーキングサービスのアカウントをウェブサイトにリンクします。^[2]希望するソーシャルネットワーキングサービスを選択するだけで、ユーザーはそのサービスのログイン情報を使用してウェブサイトにサインオンできます。これにより、エンドユーザーは複数の電子商取引やその他のウェブサイトのログイン情報を覚えておく必要がなくなり、サイト所有者にはソーシャルネットワーキングサービスから提供される統一された人口統計情報が提供されます。ソーシャルログインを提供する多くのサイトでは、希望するユーザー、または互換性のあるソーシャルネットワーキングサービスのアカウントを持っていないユーザー（そのため、ウェブサイトでアカウントを作成できないユーザー）のために、より従来的なオンライン登録も提供しています。

ソーシャルログインは、 OpenIDやSAMLなどの標準規格を用いた認証システムとして厳密に実装できます。ユーザーにソーシャル機能を提供する消費者向けウェブサイトでは、ソーシャルログインはOAuth標準規格を用いて実装されることが多いです。OAuthは安全な認証プロトコルであり、認証と組み合わせて使用​​されることが多く、サードパーティアプリケーションに「セッショントークン」を付与することで、ユーザーに代わってプロバイダーへのAPI呼び出しを可能にします。このようにソーシャルログインを使用するサイトは、通常、コメント、共有、反応、ゲーミフィケーションなどのソーシャル機能を提供しています。

ソーシャルログインは企業のウェブサイトにも拡張できますが、^[3]ソーシャルネットワークや消費者向けIDプロバイダーの大部分は自己主張型IDを許可しています。そのため、ソーシャルログインは一般的に、銀行や医療などの厳格で高度なセキュリティが求められるアプリケーションには使用されません。

調査によると、ウェブサイトの登録フォームは非効率的です。多くの人が虚偽のデータを提供したり、サイトのログイン情報を忘れたり、そもそも登録を拒否したりするからです。2011年にJanrainとBlue Researchが実施した調査では、消費者の77%が認証手段として、従来のオンライン登録方法よりもソーシャルログインを好むことがわかりました。^[4]その他の利点：

ターゲットコンテンツ

ウェブサイトは、ユーザーに合わせてパーソナライズされたコンテンツをターゲティングするために、プロフィールとソーシャルグラフデータを取得できます。これには、名前、メールアドレス、出身地、興味、活動、友人などの情報が含まれます。ただし、これはプライバシーの問題を引き起こし、インターネット上で利用できるビューやオプションの多様性を狭める可能性があります。

複数のID

ユーザーは複数のソーシャルIDを使用してウェブサイトにログインできるため、オンラインIDをより適切に管理できます。^[5]

登録データ

多くのウェブサイトでは、ユーザーがウェブフォームにPII （個人識別情報）を手動で入力する代わりに、ソーシャルログインから返されるプロフィールデータを使用しています。これにより、登録またはサインアップのプロセスがスピードアップする可能性があります。

事前検証済みメール

GoogleやYahoo!などのメールをサポートするIDプロバイダーは、ユーザーのメールアドレスをサードパーティのウェブサイトに返すことで、登録プロセス中にユーザーが偽のメールアドレスを入力するのを防ぐことができます。

アカウントのリンク

ソーシャルログインは認証に使用できるため、多くのウェブサイトでは、既存のユーザーが再登録を強制することなく、既存のサイトアカウントをソーシャルログインアカウントにリンクできるようにしています。

Facebookなどのプラットフォームを介したソーシャルログインを利用すると、生産性向上のためにソーシャルネットワーキングサービスをブロックしている図書館、学校、職場などでは、意図せずサードパーティのウェブサイトが利用できなくなる可能性があります。また、中国の「金盾計画」のように、積極的な検閲体制を持つ国では、サードパーティのウェブサイトが積極的に検閲されていないとしても、ユーザーのソーシャルログインがブロックされると事実上ブロックされるため、問題が発生する可能性があります。^[6]

ソーシャルログインツールの使用には、他にもいくつかのリスクが伴います。攻撃者は高度な手段を用いてこれらの認証メカニズムをハッキングするため、これらのログインは詐欺やアカウントの不正利用の新たな領域にもなります。^[7]これにより、不正なアカウント作成が望ましくないほど増加したり、さらに悪いことに、攻撃者が正当なユーザーからソーシャルメディアアカウントの認証情報を盗み出したりする可能性があります。ソーシャルメディアアカウントが悪用される方法の1つは、ユーザーがすべてのウェブサイトへの読み取りと書き込みの権限を要求する悪意のあるブラウザ拡張機能をダウンロードするように誘導されることです。これらのユーザーは、インストール後、通常は1週間ほどで、拡張機能がコマンドアンドコントロールサイトからバックグラウンドJavaScriptマルウェアをダウンロードし、ユーザーのブラウザで実行されることに気づいていません。それ以降、マルウェアに感染したブラウザは、事実上リモートで制御される可能性があります。これらの拡張機能は、ユーザーがソーシャルメディアまたは他のオンラインアカウントにログインするまで待機し、それらのトークンまたは認証情報を使用して、正当なユーザーの明示的な許可なしに他のオンラインアカウントにサインアップします。

2012年3月、ある研究論文^[8]で、ソーシャルログインの仕組みのセキュリティに関する広範な調査が報告されました。著者らは、OpenID（Google IDとPayPal Accessを含む）、Facebook、Janrain、Freelancer、FarmVille、Sears.comなどの著名なIDプロバイダーとリライングパーティのウェブサイトに8つの重大な論理的欠陥を発見しました。研究者らは、欠陥の発見を公表する前にIDプロバイダーとサービスに依存していたサードパーティのウェブサイトに通知したため、脆弱性は修正され、セキュリティ侵害は報告されていません。^[9]この研究は、SSO導入の全体的なセキュリティ品質が懸念されるという結論に至っています。

さらに、ソーシャルログインは安全でない方法で実装されることがよくあります。この場合、ユーザーは、この機能を実装したすべてのアプリケーションが自分のIDを機密に扱うことを信頼しなければなりません。 ^[10]

さらに、多くのウェブサイトで操作可能なアカウントに依存することで、ソーシャルログインは単一障害点を作り出し、アカウントがハッキングされた場合の被害を大幅に増大させます。

以下は、他のウェブサイトに使用を推奨しているソーシャルログイン機能を提供するサービスの一覧です。関連情報として、フェデレーションIDログインプロバイダーがあります。

• アリペイ
• AOL
• Apple
• Facebook
• Google
• カカオトーク
• LINE
• LinkedIn
• Myspace
• PayPal
• QQ
• 新浪微博（ウェイボー）
• 淘宝網（タオバオ）
• Vkontakte（ブイコンタクテ）
• Twitter
• WeChat

• シングルサインオン
• 認証と承認

• 「ソーシャルサインオン：それは何であり、ウェブサイトにどのようなメリットをもたらすのか？」 - Social Technology Review、2011年1月10日
• 「消費者アイデンティティの重要性」 - Windows IT Pro、2011年2月28日
• 「ペプシとXファクター、ペプシサウンドオフでゲーミフィケーションを採用」 - VentureBeat、2011年10月18日