idbok

Appearance

OpenID Foundation MODRNA WG 活動レポート (2025年3月)

執筆日: 2026-05-18(遡及執筆)。本記事は 2025 年 3 月の MODRNA WG 活動を、約 1 年後の視点から openid-specs-mobile-profile メーリングリストの公開アーカイブと openid.net 上の公開情報、および同月に開催された IETF 122 Bangkok の公開資料をもとに再構成したものです。

1. 概要

MODRNA (Mobile Operator Discovery, Registration, & autheNticAtion) WG は、モバイルネットワークオペレータ (MNO) が OpenID Connect / OAuth 2.0 をベースに GSMA Mobile Connect 互換のアイデンティティサービスを提供する際の相互運用プロファイルを策定する OpenID Foundation のワーキンググループである。共同議長は Bjorn Hjelm と John Bradley (Yubico) の 2 名で、定例コールは隔週火曜日 7:00-8:00 PT のカデンスで開催され、議事録は non-public 運用、仕様ソースは bitbucket.org/openid/mobile/src/master/ で管理されている。

2025 年 3 月の MODRNA WG は、公開アーカイブの範囲では ML 投稿が完全にゼロ の月であった。openid-specs-mobile-profile の週次アーカイブは 3 月の全 5 週(Week-of-Mon-20250303 / 20250310 / 20250317 / 20250324 / 20250331)でいずれもインデックスが生成されておらず、これは投稿そのものが存在しなかったことを意味する。隔週火曜サイクルから推定される 3 月の定例コール候補日(3 月 11 日・3 月 25 日)について、開催・キャンセルいずれの公開告知も ML には投稿されていない。openid.net/tag/modrna/ 配下にも 3 月付の MODRNA 固有アナウンスは確認できない。

本月は、2 月 11 日コール(Bjorn Hjelm による Issue #219 起票と並行)から、4 月 8 日コール(IIW Spring 2025 と衝突しキャンセル)に至る間に挟まれた、外形的には完全に沈黙した月にあたる。一方、3 月 15 日〜21 日に Bangkok で開催された IETF 122 において、MODRNA WG が 2 月に Issue #219 として ML に提起した「private-key-jwt の audience 値曖昧性に起因する脆弱性」を取り扱う draft-ietf-oauth-rfc7523bis が OAuth WG セッションで議論されており、MODRNA WG が CIBA Core 1.0 errata 1 で取り込もうとしている改訂テキストの上流動向は、本月に IETF 側で実質的な進展を見せていた。

2. 公開された仕様・ドラフト改訂

2025 年 3 月中に MODRNA WG が openid.net/specs/ 配下に新規公開した仕様ドラフト・パブリックレビュー告知・Notice of Vote・Implementer's Draft 改訂アナウンスは確認できない。

MODRNA WG が保守する主要仕様群のステータスは、3 月末時点で以下のとおりであり、これは 2 月末・4 月末時点と同一である。

仕様ステータス
OpenID Connect Client Initiated Backchannel Authentication – CoreFinal (2021-09)
OpenID Connect MODRNA Authentication ProfileImplementer's Draft 1
OpenID Connect Account PortingImplementer's Draft 1
OpenID Connect User Questioning APIImplementer's Draft 2
OpenID Connect MODRNA Discovery ProfileWorking Draft
OpenID Connect MODRNA Registration ProfileWorking Draft
Client Initiated Backchannel Authentication Profile (MODRNA 版)Working Draft

CIBA Core 1.0 については、1 月 30 日に Mike Jones が ML に投稿した「Initial CIBA Core errata 1 draft published」(openid-client-initiated-backchannel-authentication-core-1_0-06.html)が前月から継続して公開状態にあり、3 月中も draft-06 として参照可能であった。この errata 1 草案は 2 月 11 日に Bjorn Hjelm が Issue #219 (Validation of aud in jwt based client auth) として MODRNA 側に提起した audience 値の検証強化を取り込む PR #18 の差分を反映したものであり、後の 4 月 23 日に openid-specs-fapi 経由で改めて正式公開フェーズに進むことになる(5 〜 6 月の MODRNA レポート参照)。3 月時点では draft-06 を巡る追加コメントは MODRNA / FAPI / AB の各 ML いずれにも投稿されていない。

3. ミーティングと議論

MODRNA WG の議事録は non-public 運用のため、定例コールの議題・参加者・決定事項は公開されていない。隔週火曜サイクルから推定される 3 月の定例コール候補日と公開記録は以下のとおり。

日付コール候補公開記録
2025-03-11 (火)定例ML 上に開催・キャンセル通知・アジェンダ投稿いずれもなし
2025-03-25 (火)定例ML 上に開催・キャンセル通知・アジェンダ投稿いずれもなし

直近で確認できる Bjorn Hjelm の運用パターンとして、(i) 1 月 28 日コールはキャンセル時に Google カレンダー連動の "Canceled event" 通知を ML に投稿、(ii) 2 月 11 日コールは事前に「MODRNA WG Agenda」と題したアジェンダメール(議題は Roll Call / Antitrust statement / Adoption of the Agenda / External Organizations updates / Events / Specification status / OpenID Certification progress for MODRNA / Issue tracking review / AOB)を ML に投稿、(iii) 4 月 8 日コールはキャンセル時にリマインダ本文を ML に投稿、という挙動が観察されている。3 月の 2 回のコール候補日について、これら 3 種類の運用パターン(カレンダーキャンセル通知 / 事前アジェンダ / リマインダ)のいずれも ML 上に痕跡を残していないことから、3 月の 2 回は WG として実質的に休止していた可能性が高いと推測される。ただし非公開で実施された可能性を完全に排除する材料は公開情報からは得られない。

公開議論の状況

3 月の openid-specs-mobile-profile には MODRNA WG メンバーから提起された技術提案・設計議論・Issue 起票通知・Bitbucket PR 通知が一切投稿されていない。前月(2 月 11 日)に Hjelm が起票し ML に通知した Issue #219 (Validation of aud in jwt based client auth) に対する追加コメントも、ML 側には流れていない。

議事録 non-public の MODRNA WG では本来 ML または Bitbucket Issue から議論を再構成するのが代替手段だが、3 月はそれらが揃って沈黙していたため、本節で再構成できる WG 内部議論は存在しない。代わりに、MODRNA WG が直接関心を持つテーマ(CIBA Core の private-key-jwt audience 改訂)が IETF 側でどう動いていたかを §6(関連イベント)で補完する。

4. メーリングリストの主要スレッド

2025 年 3 月の openid-specs-mobile-profile の週次アーカイブ生成状況は以下のとおり。

アーカイブ週投稿数状態
Week-of-Mon-202503030週次インデックスなし(3 月 3 日〜9 日に投稿ゼロ)
Week-of-Mon-202503100週次インデックスなし(3 月 10 日〜16 日に投稿ゼロ)
Week-of-Mon-202503170週次インデックスなし(3 月 17 日〜23 日に投稿ゼロ)
Week-of-Mon-202503240週次インデックスなし(3 月 24 日〜30 日に投稿ゼロ)
Week-of-Mon-202503310週次インデックスなし(3 月 31 日に投稿ゼロ。4 月 1 日以降も Week-of-Mon-20250407 まで投稿なし)

参考までに、3 月を挟む前後の月の主要スレッド状況は次のとおり。

  • 1 月末(Week-of-Mon-20250127, 5 通)には、KDDI の sm-tanaka 氏が起票した「How to authenticate mobile apps with private-key-jwt without issuing ClientIDs or managing public keys」スレッドで、Joseph Heenan (Authlete) が draft-ietf-oauth-attestation-based-client-auth を用いる方向を提示し、sm-tanaka 氏が「Authorization Server 側で Client Attestation JWT を発行するアプローチの是非」を追問する、という MNO・Wallet 文脈の Client Identifier スケーリング議論が交わされていた。同週末には Mike Jones が CIBA Core errata 1 draft (-06) の公開アナウンスを投稿している。
  • 2 月(Week-of-Mon-20250210, 2 通)には、Bjorn Hjelm が 2 月 11 日コール用のアジェンダと Issue #219 (Validation of aud in jwt based client auth) を投稿。Issue #219 の本文では「IETF OAuth WG interim meeting で識別された曖昧な audience 値悪用脆弱性に基づき、CIBA Core 1.0 の改訂テキストを作成した」旨が告知され、Bitbucket Issue #219 と PR #18、IETF interim-2025-oauth-04 の議事リンク、draft-jones-oauth-rfc7523bis-00 へのリンクが共有されていた。

これら 1 〜 2 月の議題(CIBA Core errata 1 と private-key-jwt audience 検証強化)は、3 月にそのまま MODRNA WG 内部のフォローアップ議論へと発展することなく、IETF 側 (IETF 122 の OAuth WG) と OIDF 側 (4 月の FAPI errata クロスポスト) の双方に議論の主軸が移った形となっており、MODRNA WG 自体の ML が沈黙したまま 4 月を迎える流れであった。

3 月単月で「3〜5 本選定」の対象となる技術議論スレッドは存在しない。

5. GitHub 上の議論

MODRNA WG の仕様ソースは GitHub ではなく Bitbucket Cloud (bitbucket.org/openid/mobile/src/master/) で管理されている。GitHub 側に MODRNA WG の公式一次リポジトリは存在しない(github.com/openid/MODRNA といった誤記が一部で見られるが、そのようなリポジトリは現存しない)。

Bitbucket Cloud は SPA 描画のため外部からのクローリングに適さず、本稿の調査範囲では 3 月中の Bitbucket Issue / PR / コミット活動の具体的件数を確認できない。1 月末から 2 月にかけて MODRNA Bitbucket 側に存在することが ML 経由で確認されている Issue #219 (Validation of aud in jwt based client auth) と PR #18 については、3 月中に新たな状態遷移(コメント追加・PR マージ・Issue クローズ)が発生していたかどうかは外部から判定できない。ML 側には 3 月中の Bitbucket 由来の Issue / PR 通知メールが一切流入しておらず、少なくとも「ML への波及を伴うレベルの動き」は本月には発生していない。

Atlassian による Bitbucket Cloud Issues / Wiki の 2026-08-20 完全廃止アナウンスはこの時点では出ておらず(2026 年 3 月公表)、MODRNA WG として Issue Tracker 代替候補を検討する動きは本月の公開チャネルでは確認できない。

6. 関連イベント

IETF 122 Bangkok(2025-03-15 〜 21)

3 月の MODRNA 領域を取り巻く最大の外部文脈は、3 月 15 日〜21 日にタイ・バンコクの Marriott Marquis Queen's Park で開催された IETF 122 であった。OAuth WG セッションでは、1 月の OAuth interim meeting で取り上げられた「private-key-jwt の audience 値曖昧性に起因する脆弱性」(University of Stuttgart の Pedram Hosseyni, Ralf Küsters, Tim Würtele らによる発見)への対応として、Brian Campbell (Ping Identity) が draft-ietf-oauth-rfc7523bis を JWT client authentication ケースに焦点を当てた形で改訂する方向を示し、authorization grants の audience 値に関するクライアント側責任を明確化する設計が提示された。

この rfc7523bis の進展は MODRNA WG にとっても直接的な意味を持つ。MODRNA WG が 2 月 11 日に Issue #219 として ML に流した「CIBA Core 1.0 の audience 検証強化テキスト」と、Mike Jones が 1 月 30 日に公開した CIBA Core errata 1 draft (-06) は、いずれも同じ脆弱性への対応であり、IETF 側で rfc7523bis がどう収束するかが MODRNA WG 側の errata 仕上げに影響する関係にある。3 月時点では MODRNA WG メンバーから IETF 122 OAuth セッションの参加・発言記録は ML には共有されていないが、Mike Jones(CIBA Core エディタ)と Brian Campbell(後の 4 月 FAPI errata クロスポストの主役)は OAuth WG の中核メンバーとして同セッションに関与していた。

OAuth Security Workshop 2025(2025-02-26 〜 28)の余波

3 月の直前月にあたる 2 月 26 日〜28 日には、Reykjavik で OAuth Security Workshop 2025(10 周年回)が開催されている。Authlete の Joseph Heenan による「OpenID for Verifiable Credentials: Achieving interoperability, security and scalability」、Vladimir Dzhuvinov と Mike Jones による「The Cambrian Explosion of OAuth and OpenID Specifications」など、MODRNA WG メンバー周辺の参加が複数あった。Heenan は 1 月末の sm-tanaka スレッドで attestation-based client auth を提案した張本人であり、Jones は CIBA Core errata 1 draft の編集者でもある。OSW 2025 の議論が 3 月の IETF 122 にどう持ち込まれたかは外部記録から追跡可能だが、MODRNA WG として OSW 2025 を踏まえた何らかの対外発信を 3 月中に行った形跡は ML・openid.net いずれにも見当たらない。

IIW Spring 2025(2025-04-08 〜 10)の準備期

3 月は 4 月 8 日〜10 日にマウンテンビューで開催される IIW XL (Spring 2025) の直前期にあたる。MODRNA WG の 4 月 8 日コールが IIW 衝突を理由にキャンセルされることになる背景として、3 月の段階で WG メンバーの IIW 参加意向が固まっていた可能性が高い(4 月 8 日キャンセル通知本文に「As discussed previously」とあり、事前合意がなされていたことが読み取れる)。3 月の WG 沈黙の一部はこの直前期の各メンバーの準備作業に起因していた可能性もあるが、これは推測の域を出ない。

CAMARA / Mobile Connect コンテキスト

OpenID Foundation は 2023 年 11 月以来 Linux Foundation の CAMARA プロジェクトに Associate Member として参加しており、Bjorn Hjelm は OIDF の CAMARA Liaison Officer を兼務している。3 月中に MODRNA WG として CAMARA 進捗を ML に共有する投稿や、MODRNA × CAMARA の合同セッションを開いた記録は公開情報からは確認できなかった。

7. 今後の予定(2025 年 3 月末時点の視点)

3 月末時点の公開情報からは、MODRNA WG の 4 月以降の明示的な予定は ML・openid.net いずれにも掲載されていない。隔週カデンスと前後の動きから推定される事項は以下のとおり。

  • 定例コール: 隔週火曜サイクルに従えば 4 月 8 日(火)が次回候補。同週は IIW Spring 2025 開催週と重なるため、MODRNA WG 内で開催判断が分かれる可能性
  • CIBA Core errata 1 draft (-06) の取り扱い: 1 月 30 日に Mike Jones が ML 投稿した draft-06 と、2 月 11 日に Hjelm が起票した Issue #219 の処理。openid-specs-fapi 経由での openid.net 正式公開フェーズに進む可能性
  • draft-ietf-oauth-rfc7523bis の収束待ち: IETF 122 で議論された改訂方向が -01 以降にどう反映されるかが、MODRNA 側 errata の仕上げに影響
  • Implementer's Draft 群の現状維持: Authentication Profile ID1 / Account Porting ID1 / User Questioning API ID2 はいずれも次版改訂の公式アナウンスがなく、現行ステータスを維持

3 月の対外可視な活動は実質ゼロであり、当時の読者にとっては「MODRNA WG が静観している月」として受け止められる内容であった。後の月で振り返ると、本月は 2 月 11 日コール以降 4 月 8 日キャンセル通知までの約 2 ヶ月にわたる ML 沈黙期間の中盤にあたり、活動の実体は IETF 122 (Bangkok) の OAuth WG 側に移っていた時期と整理できる。

8. 参考情報源