idbok

Appearance

OpenID Foundation MODRNA WG 活動レポート (2025年2月)

執筆日: 2026-05-18(遡及執筆)。本記事は 2025 年 2 月の MODRNA WG 活動を、約 1 年 3 ヶ月後の視点から openid-specs-mobile-profile メーリングリストの公開アーカイブ、openid.net 上の公開情報、IETF Datatracker、および同月に開催された OAuth Security Workshop 2025 (Reykjavik) の公開情報をもとに再構成したものです。

1. 概要

MODRNA (Mobile Operator Discovery, Registration, & autheNticAtion) WG は、モバイルネットワークオペレータ (MNO) が OpenID Connect / OAuth 2.0 をベースに GSMA Mobile Connect 互換のアイデンティティサービスを提供する際の相互運用プロファイルを策定する OpenID Foundation のワーキンググループである。共同議長は Bjorn Hjelm (Verizon, OIDF acting Vice Chairman) と John Bradley (Yubico) の 2 名で、定例コールは「Tuesday 2pm UTC (7am PST / 4pm CET) – biweekly」のカデンスで開催されている。仕様ソースは bitbucket.org/openid/mobile/src/master/ で管理され、議事録は non-public 運用である。

2025 年 2 月の MODRNA WG は、対外可視な活動が 2 月 11 日コール周辺の Bjorn Hjelm からの 2 通の ML 投稿 に集約された月であった。openid-specs-mobile-profile 公開アーカイブで 2 月分として生成されている週次インデックスは Week-of-Mon-20250210 のみで、他の週(20250203 / 20250217 / 20250224)はインデックス自体が生成されていない(投稿ゼロ)。openid.net/tag/modrna/ 配下にも 2025 年 2 月付の MODRNA 固有アナウンスは存在しない。

ただし、本月に Hjelm が ML に投じた 2 通のうち 1 通は MODRNA WG にとって 2025 年前半の最重要トピックとなる Bitbucket Issue #219 (Validation of aud in jwt based client auth) の正式起票通知 であり、これは 1 月末に IETF OAuth WG interim meeting (interim-2025-oauth-04) で議論された "private-key-jwt の audience 値曖昧性に起因する脆弱性" を CIBA Core 1.0 errata 1 に取り込むための WG 内アクションの起点となった。月内の対外可視活動の量は乏しい一方、後の数ヶ月で CIBA Core errata 1 → FAPI errata クロスポストへと発展する技術系列の「種」が公開チャネル上に明示的に置かれた月として位置づけられる。

本月の外部環境としては、2025-02-19 に FAPI 2.0 Security Profile / Attacker Model が Final 仕様として承認、2025-02-21 に draft-ietf-oauth-rfc7523bis-00 が IETF OAuth WG document として承認、2025-02-26〜28 に OAuth Security Workshop 2025 (Reykjavik, Iceland) が開催と、MODRNA WG が直接編集主体でないものの密接に関連する事象が立て続けに発生した。MODRNA WG 自体はこれら外部動向に対して ML 上で公式リアクションを取らず、Issue #219 の起票という形で内部 Issue Tracker 側に作業を切り出した月であった。

2. 公開された仕様・ドラフト改訂

2025 年 2 月中に MODRNA WG が openid.net/specs/ 配下に新規公開した仕様ドラフト・パブリックレビュー告知・Notice of Vote・Implementer's Draft 改訂アナウンスは確認できない。

MODRNA WG が保守する主要仕様群のステータスは、2 月末時点で以下のとおりであり、これは 1 月末・3 月末時点と同一である。

仕様ステータス
OpenID Connect Client Initiated Backchannel Authentication – CoreFinal (2021-09)
OpenID Connect MODRNA Authentication ProfileImplementer's Draft 1
OpenID Connect Account PortingImplementer's Draft 1
OpenID Connect User Questioning APIImplementer's Draft 2
OpenID Connect MODRNA Discovery ProfileWorking Draft
OpenID Connect MODRNA Registration ProfileWorking Draft
Client Initiated Backchannel Authentication Profile (MODRNA 版)Working Draft

CIBA Core 1.0 errata 1 draft (-06) の継続公開

前月(2025-01-30)に Mike Jones が ML 投稿した「Initial CIBA Core errata 1 draft published」で告知された CIBA Core 1.0 errata 1 草案 openid-client-initiated-backchannel-authentication-core-1_0-06.html は、2 月中も同 URL で参照可能な状態を維持していた。Jones の 1 月末投稿は (i) errata 案が 2025-01-27 の IETF OAuth WG interim meeting (interim-2025-oauth-04) での議論結果を取り込んだものであること、(ii) 共同発表者は Joseph Heenan (Authlete)、(iii) 修正適用作業は Joe DeCock が実施、(iv) 関連仕様にも対応する修正を入れたこと、を明示しており、これらが 2 月 11 日に Hjelm が ML に投じる Issue #219 起票通知(後述)へ直接接続される文脈を提供していた。

2 月中、この errata 1 draft に対する追加コメント・差分提案・パブリックレビュー開始告知は MODRNA / FAPI / AB の各 ML いずれにも投稿されていない。

関連外部仕様: FAPI 2.0 Final 承認と rfc7523bis-00 承認

2 月中、MODRNA WG が直接編集主体ではないものの、隣接領域で以下の重要な版改訂が発生した。これらはいずれも MODRNA WG のメンバーが今後参照することになる文書である。

  • 2025-02-19: openid.net で「FAPI 2.0 Security Profile and Attacker Model Final Specifications Approved」が公開され、FAPI 2.0 Security Profile と FAPI 2.0 Attacker Model が Final 仕様として承認されたことが告知された(投票結果: 賛成 82・反対 0・棄権 14、全 401 メンバー中 96 票で定足数 20% を超過)。FAPI 2.0 Security Profile の仕様本体は 2025-02-22 付で openid.net/specs/fapi-security-profile-2_0-final.html に掲載された。MODRNA / CIBA エコシステムは FAPI Final 仕様の private_key_jwt client authentication 規定を継続的に参照する関係にあり、本承認は MODRNA WG にも間接的に影響する。
  • 2025-02-21: IETF OAuth WG において draft-ietf-oauth-rfc7523bis-00 が WG document として承認・公開された。これは前月までは個人ドラフト draft-jones-oauth-rfc7523bis-00 として 2025-01-27 付で公開されていたものが、interim-2025-oauth-04 での議論を経て WG ドキュメント化されたものである。MODRNA WG が 2/11 に起票する Issue #219 は同ドラフトと同じ脆弱性(private-key-jwt の audience 値曖昧性)を CIBA Core 側に反映するための作業であり、本 WG 採用は MODRNA 側 errata の上流が動き始めたことを意味する。

3. ミーティングと議論

MODRNA WG の議事録は non-public 運用のため、定例コールの議題・参加者・決定事項は公開されていない。2 月の隔週火曜日サイクルから推定される定例コール候補日と公開記録は以下のとおり。

日付コール候補公開記録
2025-02-11 (火)定例Bjorn Hjelm より事前アジェンダ + Issue #219 起票通知の 2 件投稿(後述)
2025-02-25 (火)定例ML 上に開催・キャンセル通知・アジェンダ投稿いずれもなし

2 月 11 日コール: 事前アジェンダ投稿と Issue #219 の正式提起

2025-02-11 15:09:36 UTC、共同議長の Bjorn Hjelm から「MODRNA WG Agenda」と題したアジェンダメールが ML に投稿された。本文では当日開催の WG コール用アジェンダが提示され、以下の標準的な 9 項目で構成されていた(議事録 non-public 運用下で、これが公開チャネルから直接確認できる唯一の議題リストである)。

  1. Roll Call
  2. Antitrust Statement(openid.net/antitrust 参照)
  3. Adoption of the Agenda
  4. External Organizations
  5. Events
  6. Specification Status(openid.net/wg/mobile/status/ 参照)
  7. OpenID Certification for MODRNA(openid.net/certification/ 参照)
  8. Issue Tracker(bitbucket.org/openid/mobile/issues 参照)
  9. AOB

この標準アジェンダ構成は MODRNA WG の毎回コールで共通であり、本月特有の議題は議事録 non-public のため項目名以上には外部からは観測できない。ただし、同じ Hjelm から 15:01:36 UTC(アジェンダ投稿の約 8 分前)に発信された Issue #219 起票通知(後述)の内容から、当日コールの Item 8「Issue Tracker」枠で Issue #219 と PR #18 が中心議題となった蓋然性が高いと推察される。

Issue #219 の起票通知

2025-02-11 15:01:36 UTC、Hjelm は「Issue #219: Validation of aud in jwt based client auth」と題したメールを ML に投稿し、Bitbucket Issue Tracker 上に新規 Issue #219 を起票した旨を告知した。本文では IETF OAuth WG interim meeting で識別された「ambiguous audience values for AS」(AS 識別のための audience 値曖昧性)に起因する脆弱性に基づき、CIBA Core 1.0 の audience 検証規定を改訂するテキスト案を作成したことが説明されている。Hjelm が共有した一次情報リンクは以下の 4 本に整理される。

URL内容
bitbucket.org/openid/mobile/issues/219/validation-of-aud-in-jwt-based-client-auth起票された Issue #219 本体
datatracker.ietf.org/meeting/interim-2025-oauth-04/session/oauth2025-01-27 開催の IETF OAuth WG interim meeting のセッションページ
datatracker.ietf.org/doc/slides-interim-2025-oauth-04-sessa-private-key-jwt-aud-issues/University of Stuttgart 等が発表した "private-key-jwt aud issues" スライドデック
bitbucket.org/openid/mobile/pull-requests/18/overviewPR #18: Issue #219 に対応する CIBA Core 1.0 改訂テキストの差分

Hjelm の投稿自体は脆弱性の技術的詳細を本文に展開していない(読者は IETF 側のスライド資料を参照する設計)。読者にとっての論点は、(i) CIBA Core 1.0 (Final, 2021-09) の private-key-jwt 規定が IETF rfc7523bis 系列の改訂と同期した改訂テキストに置き換わること、(ii) その差分が PR #18 として Bitbucket 上で具体的にレビューされること、の 2 点である。

2 月 25 日コール: 公開記録なし

隔週カデンスに従えば 2025-02-25(火)が次回コールに該当する。Week-of-Mon-20250224 の週次アーカイブはインデックス自体が生成されておらず、MODRNA WG として 2/25 コールに関する事前アジェンダ投稿・キャンセル通知・事後の議事連絡はいずれも投稿されていない。MODRNA WG では Hjelm がキャンセル時に明示的なリマインダを ML に流す運用が観察されているため(1/28 と 4/8 の前例)、(1) 開催されたが議事録 non-public のため公開記録に現れていない、(2) OSW 2025 (2/26〜28, Reykjavik) との参加者衝突を理由に非公式に実質休止していた、のいずれかと推察されるが、公開情報からは確定できない。

公開議論の状況

議事録 non-public の MODRNA WG では、本来 ML や Bitbucket Issue から議論を再構成するのが代替手段となる。2 月は Hjelm の Issue #219 起票通知以外に MODRNA WG 固有の技術提案・設計議論・PR 通知が ML に投稿されておらず、本節で再構成できる WG 内部議論は実質的に Issue #219 の起票そのものに限られる。Issue #219 / PR #18 への WG メンバーからの反応コメント・対案・賛同表明は 2 月の ML には流れていない。

4. メーリングリストの主要スレッド

2025 年 2 月の openid-specs-mobile-profile の週次アーカイブ生成状況と投稿内訳は以下のとおり。

アーカイブ週投稿数主な内容
Week-of-Mon-202501270週次インデックスあり(前月分のため除外)
Week-of-Mon-202502030週次インデックスなし(2/3〜2/9 に投稿ゼロ)
Week-of-Mon-202502102Hjelm の Issue #219 起票通知 + 2/11 コール用アジェンダ
Week-of-Mon-202502170週次インデックスなし(2/17〜2/23 に投稿ゼロ)
Week-of-Mon-202502240週次インデックスなし(2/24〜2/28 に投稿ゼロ)

2 月単月で「3〜5 本選定」の対象となる技術議論スレッドは存在せず、Hjelm からの一方向 2 投稿のみが公開記録のすべてである。以下、両投稿の概要をまとめる。

スレッド 1: Issue #219: Validation of aud in jwt based client auth (2025-02-11)

  • 開始: 2025-02-11 15:01:36 UTC、Bjorn Hjelm (OIDF / Verizon) より
  • URL: Week-of-Mon-20250210/001983.html
  • 発端: 2025-01-27 の IETF OAuth WG interim meeting (interim-2025-oauth-04) で発表された "private-key-jwt aud issues" を受け、CIBA Core 1.0 (Final) の private-key-jwt 規定に対応する改訂テキストを起票するため Bitbucket Issue #219 を立てた旨を WG 全体に通知。
  • 共有 URL: Issue #219 本体、IETF interim-2025-oauth-04 セッション、private-key-jwt aud issues スライド、PR #18。
  • 返信: 2 月中の ML には返信なし。スレッドは MODRNA ML 上では 1 通で終了し、後続議論は Bitbucket Issue Tracker 側および 2/11 コール内(議事録 non-public)に閉じた。
  • 位置づけ: 1/30 の Mike Jones による CIBA Core errata 1 draft (-06) 公開と論理的に対をなす。Jones 側が errata 文書本体の公開を担い、Hjelm 側が MODRNA WG の Issue Tracker / PR ワークフローに正式に取り込む役割を担った形である。

スレッド 2: MODRNA WG Agenda (2025-02-11)

  • 開始: 2025-02-11 15:09:36 UTC、Bjorn Hjelm より
  • URL: Week-of-Mon-20250210/001982.html
  • 内容: 当日 2025-02-11 開催の MODRNA WG コール用アジェンダ。標準 9 項目(Roll Call / Antitrust / Adoption of Agenda / External Organizations / Events / Specification Status / OpenID Certification / Issue Tracker / AOB)を含む。
  • 共有 URL: OIDF Antitrust Policy、MODRNA Specification Status、OpenID Certification、Bitbucket Issue Tracker (open issues)。
  • 返信: なし。
  • 位置づけ: §3 で述べたとおり、Issue Tracker 枠(Item 8)で Issue #219 / PR #18 が議論された蓋然性が高い。

その他

上記 2 スレッド以外の投稿は 2 月中の MODRNA ML には存在しない。

5. GitHub 上の議論

MODRNA WG の仕様ソースは GitHub ではなく Bitbucket Cloud (bitbucket.org/openid/mobile/src/master/) で管理されている。GitHub 側に MODRNA の公式一次リポジトリは存在しない(github.com/openid/MODRNA といった誤記が一部で見られるが、そのようなリポジトリは現存しない)。

Bitbucket Cloud は SPA 描画のため外部からのクローリングに適さず、本稿の調査範囲では 2 月中の Bitbucket Issue / PR / コミット活動の網羅的件数を確認できない。ただし、Hjelm の 2/11 ML 投稿から Issue #219 (Validation of aud in jwt based client auth) と PR #18 が同日付で Bitbucket 上に新規作成された ことは確実に確認できる。これらは 2 月時点で唯一外部から存在が確認できる Bitbucket 上の MODRNA 固有アイテムである。

  • Issue #219: Validation of aud in jwt based client auth (bitbucket.org/openid/mobile/issues/219/validation-of-aud-in-jwt-based-client-auth) — IETF OAuth WG interim (2025-01-27) で識別された "ambiguous audience values for AS" 脆弱性に基づく CIBA Core 1.0 改訂テキストを起票。Hjelm が 2/11 に MODRNA ML へ起票通知を投稿。
  • PR #18 (bitbucket.org/openid/mobile/pull-requests/18/overview) — Issue #219 に対応する CIBA Core 1.0 (openid-client-initiated-backchannel-authentication-core-1_0-06.html) の改訂差分を含む。1/30 の Mike Jones 投稿で言及された "Bitbucket pull request showing the specific changes" と同一の PR と推定される。

2 月中の Issue #219 / PR #18 へのコメント追加・状態遷移・マージ可否決定は ML 側には波及しておらず、外部から判定する手段はない。Hjelm の 2/11 起票通知以降、Bitbucket 由来の Issue / PR 通知メールが MODRNA ML に流入することはなく、Issue #219 が ML で次に話題になるのは 4 月以降の FAPI errata クロスポスト経由となる(4 月レポート参照)。

なお、Atlassian による Bitbucket Cloud Issues / Wiki の 2026-08-20 完全廃止アナウンスはこの時点ではまだ出ておらず(2026 年 3 月公表)、MODRNA WG として Issue Tracker 代替候補を検討する動きは本月の公開チャネルでは確認できない。

6. 関連イベント

IETF OAuth WG interim meeting (interim-2025-oauth-04) の余波 — 2025-01-27

MODRNA WG の 2 月の最大トピックである Issue #219 の直接の発端である IETF OAuth WG interim-2025-oauth-04 は、本月の前週(2025-01-27)に開催された。同 interim では Stuttgart 大学の研究者(Pedram Hosseyni, Ralf Küsters, Tim Würtele)らが発見した「private-key-jwt の audience 値曖昧性に起因する Authorization Server なりすまし脆弱性」が議論され、対策として draft-jones-oauth-rfc7523bis-00 および CIBA Core 1.0 errata 1 draft (-06) の双方が提示された。MODRNA WG 側はこの interim 結果を 2 月の WG コール(2/11)の冒頭で Issue #219 として正式に WG プロセスに取り込んだ形である。

draft-ietf-oauth-rfc7523bis-00 の WG document 承認 — 2025-02-21

IETF OAuth WG は 2025-02-21 に draft-jones-oauth-rfc7523bis-00 を WG document 化し、draft-ietf-oauth-rfc7523bis-00 として正式公開した。同ドラフトは MODRNA WG が Issue #219 で参照している private-key-jwt audience 規定改訂の上流文書にあたるため、本承認は MODRNA WG 側の改訂作業の根拠が IETF プロセス内で公式化されたことを意味する。MODRNA ML には 2/21 前後の同件アナウンスは流入していないが、Issue #219 起票通知 (2/11) の時点で Hjelm は既に draft-jones-oauth-rfc7523bis-00 を参照しており、WG document 化を見越したタイミングで MODRNA 側アクションを開始したと整理できる。

FAPI 2.0 Security Profile / Attacker Model の Final 承認 — 2025-02-19

openid.net で 2025-02-19 に FAPI 2.0 Security Profile と FAPI 2.0 Attacker Model の Final 仕様承認が告知された(投票結果: 賛成 82・反対 0・棄権 14)。FAPI 2.0 Security Profile 仕様本体は 2025-02-22 付で openid.net/specs/fapi-security-profile-2_0-final.html に掲載された。MODRNA WG はこの FAPI 2.0 Final 承認に対して ML 上で公式リアクションを取っていない(FAPI 2.0 は MODRNA WG の直接編集対象ではないため、コメント不要と判断された蓋然性が高い)。後の 4 月 23 日に Brian Campbell が openid-specs-fapi から MODRNA ML へクロスポストする FAPI 1.0 Advanced errata 公開議論は、本 FAPI 2.0 Final 承認とは別系列(FAPI 1.0 系の errata 公開作業)である点に注意。

OAuth Security Workshop 2025 (Reykjavik, Iceland) — 2025-02-26〜28

2025-02-26〜28 に Iceland・Reykjavik の Harpa Conference Center で OAuth Security Workshop 2025(10 周年回、Signicat ホスト)が開催された。MODRNA WG 関連で関心のあるセッションには、Authlete の Joseph Heenan による Verifiable Credentials 関連発表、Vladimir Dzhuvinov と Mike Jones による OAuth/OpenID 仕様群の俯瞰発表などが含まれていた。Heenan は 1 月末の KDDI sm-tanaka 氏のスレッドで attestation-based client auth を提案した張本人であり、Jones は CIBA Core errata 1 draft の編集者であるため、両名の OSW 2025 参加は MODRNA / CIBA 領域の議論が場外で継続していたことを示唆する。ただし MODRNA WG として OSW 2025 を踏まえた何らかの対外発信を 2 月中に行った形跡は ML・openid.net いずれにも見当たらない。

CAMARA / Mobile Connect コンテキスト

OpenID Foundation は 2023 年 11 月以来 Linux Foundation の CAMARA プロジェクトに Associate Member として参加しており、Bjorn Hjelm は OIDF の CAMARA Liaison Officer を兼務している。2 月中に MODRNA WG として CAMARA 進捗を ML に共有する投稿や、MODRNA × CAMARA の合同セッションを開いた記録は公開情報からは確認できなかった。

7. 今後の予定(2025 年 2 月末時点の視点)

2 月末時点の公開情報からは、MODRNA WG の 3 月以降の明示的な予定は ML・openid.net いずれにも掲載されていない。隔週カデンスと月内 Issue #219 起票から推定される事項は以下のとおり。

  • 定例コール: 隔週火曜サイクルから 3 月 11 日(火)・3 月 25 日(火)が次回候補
  • Issue #219 / PR #18 の処理: 2/11 に起票された CIBA Core 1.0 audience 検証強化テキストのレビューと、Bitbucket 上での PR #18 マージ判断が次の WG コール以降の主要議題となる見込み
  • CIBA Core errata 1 draft (-06) の取り扱い: 1/30 公開の draft-06 に対する追加コメントの収集、および openid.net/specs/ 配下での正式公開フェーズへの移行判断
  • draft-ietf-oauth-rfc7523bis-00 の動向監視: 2/21 に WG document 化されたばかりの上流ドラフトが今後 -01 以降にどう発展するかが、MODRNA 側 errata の仕上げに影響
  • Implementer's Draft 群の現状維持: Authentication Profile ID1 / Account Porting ID1 / User Questioning API ID2 はいずれも次版改訂の公式アナウンスがなく、現行ステータスを維持

2 月の対外可視な活動は 2/11 の Issue #219 起票通知に集約されており、当時の読者にとっては「MODRNA WG が IETF 側 interim 結果を受けて CIBA Core errata 作業を WG プロセス内に取り込み始めた月」として受け止められる内容であった。後の月で振り返ると、本月以降 6 月 3 日コールまで(5 月の ML 投稿はゼロ、3 月もゼロ、4 月は IIW 衝突によるキャンセル運用のみ)の長期サイレント期間の起点にあたり、Issue #219 の処理は ML 外(Bitbucket / 非公開 WG コール / IETF rfc7523bis 系列)で進行することになる。

8. 参考情報源