daishiのヤマなしオチなしイミなし

ITmediaに「クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性」という記事が載りました。
クイックログインは携帯電話端末の固有IDを使用して実装するものですが、固有IDの正当性は検査ができないため、

• 携帯電話のブラウザから送信していること
• 携帯電話ネットワークからの情報送信であること
• キャリア判定が正しく行われていること
• キャリア種別+固有IDで判定し、固有IDのみの判定は行わないこと

などの前提条件のチェックが必要になります。
今回はWebサイト側が携帯電話ネットワークの送信データと誤認したことで問題が発生しました。
高木先生もおっしゃっていますが、通常の携帯電話からのアクセスはcookieベースで実装する時期に来ていると考えて良いでしょう。
au、ソフトバンクについてはcookie実装が100%のため全く問題ありません。
ドコモのcookie実装は2009年夏モデル以降のiモード2.0端末からのため、ここ数年は影響度は大きいのですが、iモード1.0端末に限定してかんたんログインを実装する方が実装上も楽と判断します。

ちなみに読売新聞では「ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因」という見出しを付けていますが、ヤマト運輸側の問題をiPhoneにすりかえています。
Webサイト向けに記事を編集した担当者と実際に当事者を取材した人間は別らしいのですが、いずれにしてもすぐに修正すべき問題です。