 |
Security&Trust トレンド解説
フィッシング詐欺対策として企業が負うべき責任
〜電子署名はフィッシング詐欺対策の切り札となるか
岡田大助
2004/12/28
 |
課題は山積みだが、第一歩を評価したい |
すでに言及したが、フィッシング詐欺対策の現状としては、企業側の背負う責任とユーザーが背負うリスクとを比較した場合、後者の方が圧倒的に重いといういびつなバランスになっている。今回の武富士の決断は、このバランスを平均化する先駆けとして非常に評価できる。
しかし、依然として課題は山積みだ。まず、電子署名そのものに対する認知度の低さが指摘できる。IT業界の人間でさえ、電子署名に対する知識を十分に持ち合わせている人は少ないのではないか。いわんや一般消費者をや、だ。
例えば、メールソフト「Becky!」で電子署名の付いたメールを受信したとする。そこには、「smime.p7s」という見慣れない添付ファイルが付いている。ウイルスが蔓延(まんえん)する今日、ベンダ各社やメディアは一般ユーザーに対して、「怪しい添付ファイルの付いたメールは知人からのメールであってもクリックしてはいけない」と啓もう活動をしてきた。困った。
武富士としてもこの問題は認識している。同社では、シェアが最も多い「Outlook Express」を想定し、「『勲章マークが付いているメールが、弊社から送信したメールです』と端的に説明した方が一般ユーザーに混乱が少ないだろう」というスタンスを取る。当面はこのような簡単なステップを踏み、電子署名に対する認知度を上げる戦術を続け、電子署名が広く一般に受け入れられる土壌ができたら、電子署名の意味するところ、検証方法などの啓もうにシフトする。高瀬氏は、「そのころには、ほかの金融機関も電子署名を利用し始めているだろう」と予測する。
 |
| 電子署名が施されたメール(Outlook Express) 右上に赤い“勲章マーク”が見える |
算数を理解していない幼稚園児に数学を教えるのは混乱を招くだけ、というのは納得できる。しかし、過渡期に発生するであろう問題も容易に想像できるのだ。例えば、武富士をかたったメールに適当な電子署名を付けて詐欺メールを送信したら?
また、メールソフトの電子署名への対応もまちまちだ。Outlook Expressに代表されるマイクロソフト製のメールクライアントの場合、電子署名は勲章マークで表示される。しかし、Mozillaがリリースしているメール/ニュースクライアント「Thunderbird」では、電子署名はペンのマークで表示される。Becky!の場合、電子署名用のプラグインが公式にサポートされているという特徴があるが、見た目で電子署名の存在が分かるようなアイコンはない。
さらに、携帯電話のメール機能が電子署名に未対応という問題もある。武富士のインターネット申し込みシステムは携帯電話からの申請にも対応している。しかし、携帯電話メールでは添付ファイル(つまり電子署名)が付いたメールを一律削除してしまう。ベリサインでもこの部分の改善をキャリアと検討している段階ということだが、具体的な内容については決まっていないのが現状らしい。
 |
| 電子署名が施されたメールが届くと開くメッセージ画面(Outlook Express) |
|
フィッシング詐欺対策として 電子署名が受け入れられるか |
高瀬氏は個人的な意見と前置きしながら、「官公庁が旗を振って、認証制度を作ってもらえないだろうか。現状はあくまでも民-民での認証制度でしかない。それはセキュリティの世界では認知度が高くても一般的には弱い。お役所が『この企業は正当な企業である』というお墨付きを出してくれると一般消費者にも納得してもらえるのではないか」と、新しい枠組みの成立に期待を寄せる。
電子署名が一般に受け入れられなければ、セキュリティ投資としての効果が測定しにくいかもしれない。また、一部の企業しか電子署名に対応していなければ、それが決定的なフィッシング詐欺の解決策とならないのも確かだ。
そのため、電子署名の導入に踏み切れない企業が出てくるだろう。武富士のように全社的な導入は無理でも、ユーザー向けのメールマガジンや自動応答メールだけでも電子署名に対応させられないだろうか。もちろん「電子署名を導入しておけば大丈夫」とあぐらをかいてしまい、電子署名を“免罪符”にされてしまっても困るのだが、まずは第一歩として業界全体で取り組んでいかなければならない。
 |
| 電子署名付きメールが改ざんされていると…… 日本ベリサイン担当者いわく「この画面にお目にかかるのは滅多にないはず。とてもレアなキャプチャーです(笑)」 |
 |
3/3 |
| Index | |
| フィッシング詐欺対策として企業が負うべき責任 | |
| Page1 日本語のフィッシング詐欺メール登場 企業がすべき努力、ユーザーが背負うリスク |
|
| Page2 「電子署名がないメール=いかがわしいメール」となるか 電子署名導入は本当にコストが掛かるのか |
|
 |
Page3 課題は山積みだが、第一歩を評価したい フィッシング詐欺対策として電子署名が受け入れられるか |
| 関連記事 |
| いまさらフィッシング詐欺にだまされないために |
| S/MIMEでセキュアな電子メール環境をつくる! |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
