spモードのトラブル再び

7月25日に再びspモードのトラブルがありました。
NTTドコモのリリース
ITmediaの記事
パスワードが同じ別のユーザーの設定を変更できた、というものです。
ケータイ Watchの記事によると、spモードの設定はユーザー毎に決まったサーバーにアクセスすることになっているそうです。今回は、そのアクセス先が狂ったために、パスワードが一致すれば、設定を確認・変更できるようになってしまったとのこと。
さらに日経BP社のITproにもう少し詳しい情報(ユーザー登録が必要)が有りました。
ユーザーを取り違えるのは昨年末のspモードメールのトラブルと同じですが、原因は違うとのこと(アプリケーションが違いますから、そうでしょう)。これを書いている時点で、NTTドコモからの詳細な調査結果の発表はありませんが、トラブルが多すぎです。

これらの情報からの判断すると、問題点は3つ。
サーバーの選択を誤った
パスワードが4桁と短かった
パスワードが初期状態でOKであったため、変えない人が多かった
ユーザーの情報を分散配置するのは当然の手法ですが、今回のように多くが切り替わってしまうのは、単純な仕組みで分散しているのかもしれません。
もっと問題なのは、パスワードがたった4桁で、しかも初期値から変更しなくて良いことです。
上記ITproの記事によるとNTTドコモはパスワードを初期値から変更するように呼びかけるとのことですが、甘いです。初回アクセス時にパスワードを変更させる仕組みを取り入れるのはもちろん、既存の初期値のユーザーには自動でパスワードを設定し、それを何らかの手段で連絡すべき。これを実施したとしても、4桁のままだと、初期値を除いても9,999通りしかありません。1台のサーバーにはそれ以上のユーザーを収容するでしょうから、今回の問題の回避にはなりません。数字のみならばせめて8桁程度にはすべきと思います。

根本的には、過去から続いている、4桁の番号の入力のみで認証できる仕組みに限界が来ていると思います。簡単とセキュリティは表裏一体。NTTドコモがもう少し考えることを期待します。