シマンテック“スピンアウト組”が設立した新会社の実力

2004/11/25

 セキュアブレインは11月24日、偽の電子メールやWebサイトでユーザーの個人情報を盗み取るフィッシング詐欺の被害を防止する新ソフト「PhishWall」(フィッシュウォール)を2005年3月中旬に出荷すると発表した。セキュアブレインはシマンテック日本法人の出身者らが中心となって2004年10月に設立。代表取締役社長 兼 CEOは2003年6月までシマンテックの代表取締役社長だった成田明彦氏が務める。成田氏は「シマンテック時代から個人としてどうして日本製のセキュリティソリューションがないのかと思っていた。セキュアブレインでは日本初で世界に通用する製品を開発する」と述べた。

セキュアブレイン 代表取締役社長 兼 CEO 成田明彦氏

 セキュアブレインの資本金は7650万円。24人の個人と2社の企業が出資した。成田氏はセキュアブレインの方向として「セキュリティ対策の中でもオンライン詐欺に的を絞ったビジネスをしていきたい」と説明した。今回発表したフィッシュウォールとセキュリティのコンサルティング、教育を事業の柱に据えるという。5年以内の株式公開を目指す。

 セキュアブレインのプリンシパルセキュリティアナリスト 星澤裕二氏はフィッシング詐欺の対策の現状について、アンチスパム技術や電子メール送信者の認証技術、URLフィルタリングなどがあると説明した。しかし、「電子メール側での対策だけでは不十分」と指摘。電子メールを使ってユーザーを勧誘するのではなく、詐欺目的のWebサイトを構築して検索エンジンなどを通してユーザーを誘導する手口も登場し、電子メールの対策だけでは追いつかなくなっているのが現状と述べた。

 また、電子メール送信者の認証では、メール内容の善悪を確認できないという問題がある。URLフィルタリングでフィッシング詐欺サイトへの接続をブロックする方法は、次々に登場し消えるフィッシング詐欺サイトのリスト更新が追いつかないという問題がある。星澤氏によると、フィッシング詐欺サイトは設置されて5〜6日で消えてしまうケースが多いという。

 セキュアブレインが開発したフィッシュウォールは、クライアント側でWebサイトが安全で正しいかを確かめられるソフト。エンドユーザーはフィッシュウォールのクライアント製品をPCにインストールする。クライアントはWebブラウザのツールバーとして表示される。オンラインバンキングや電子商取引サイトを運営する企業は、Webサーバにフィッシュウォールのサーバ製品を導入する。

 Webサイトの安全度をユーザーが確認するには、そのWebサイトがフィッシュウォールのサーバ製品を導入していて、さらにユーザーがあらかじめWebサイトを登録しておく必要がある。そのWebサイトにユーザーが接続した場合、Webブラウザのツールバーに“青”の表示が出れば、そのWebサイトがユーザーが実際に接続したいと考えているWebサイトであることが確認できる。一見すると目的のWebサイトであるものの、ユーザーからの認証要求に対して正しい情報を発信しないWebサイトは、フィッシング詐欺目的のWebサイトとして“赤”が表示される。

セキュアブレインのプリンシパルセキュリティアナリスト 星澤裕二氏

 “赤”を表示させるには、フィッシング詐欺目的のWebサイトがフィッシュウォールのサーバ製品を導入している必要がある。フィッシュウォールのサーバ製品を導入していないWebサイトの場合、それがフィッシング詐欺目的のWebサイト、正常なWebサイトのいずれの場合でも、何も警告は表示されない。警告がない場合でも、フィッシュウォールのツールバーにはWebサイトのURLやサーバ設置場所を示す国旗が表示され、ユーザーはそのWebサイトの安全を確認できる。ただ、本来の使い方をするには、フィッシュウォール自体の普及が不可欠といえる。フィッシュウォールは怪しいWebサイトを検知するのではなく、自分がよく利用するWebサイトが正当かを確かめるホワイトリスト的なアプローチといえるだろう。

 フィッシュウォールは秘密鍵/公開鍵と認証局のシステムを使ってWebサイトの正当性を認証する。ユーザーはあらかじめ利用したいWebサイトの登録情報を生成する。その登録情報を認証局がクライアントの公開鍵とWebサーバの公開鍵で二重に暗号化する。暗号化された登録情報はWebサーバに送られ、保管される。Webサーバはユーザーの登録証明書を作成し、ユーザーに送付する。

 ユーザーがWebサイトにアクセスする場合、Webサーバから受け取った登録証明書をWebサーバに送付する。Webサーバは登録証明書に関連付けられた登録情報を取り出して、サーバの秘密鍵で復号し、ユーザーに戻す。ユーザーは受け取った登録情報をさらに自分の秘密鍵で復号する。復号した情報が正しければ、そのWebサイトの正当性が証明できる。「間違いなく自分が預けた登録情報をWebサーバが保管していて、さらにWebサーバと自分が暗号を復号できたと確認することで、正当性が分かる」(セキュアブレイン 取締役テクニカルディレクター 田島久行氏)。Webサーバが正しい情報を返せなかったり応答しない場合は、フィッシング詐欺サイトの可能性が高くなり、“赤”の表示でユーザーに警告する。

 最初のバージョンでフィッシュウォールのサーバ製品が対応するのはWindows 2000 ServerとWindows Server 2003。次バージョンでSolaris、Linuxに対応させるという。クライアント製品はWindows 98 SE以降のWindows OS。WebブラウザはInternet Explorerに対応する。次バージョン以降でほかのOSやWebブラウザへの対応を検討する。価格は5万ユーザー規模の利用で1ユーザー当たり年間600円。各業種の大手企業には直接販売を行い、パートナー販売も組み合わせる。初年度に1億5000万円の売り上げが目標。

(編集局 垣内郁栄)

[関連リンク]
セキュアブレインの発表資料

[関連記事]
いまそこにあるフィッシング詐欺、シマンテックが実態調査 (@IT News)
スパム、フィッシング詐欺に対応したノートン セキュリティ最新版 (@IT News)
フィッシング詐欺に対応した新ウイルスバスターができること (@IT News)
うそメールでフィッシング詐欺の「予防訓練」、トレンドとNTT西 (@IT News)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)