サーバとクライアントの相互認証でフィッシング詐欺を壊滅?
2005/1/13
イーセキュリティ・ジャパン 代表取締役社長 太田 幸多郎氏 |
オープンソース・ジャパンのセキュリティソリューション担当子会社であるイーセキュリティ・ジャパンは1月12日、フィッシング詐欺対策ソフト「PhishSafe」日本語版を1月27日より販売すると発表した。同ソフトはイスラエルのセキュリティベンダiBIZが開発したもので、比較的フィッシング詐欺の標的となりやすい銀行やカード会社を中心に導入を目指す。イーセキュリティ・ジャパン 代表取締役社長 太田 幸多郎氏は、「すでに多くの企業から問い合わせを受けている状態だ」とアピールした。
フィッシング詐欺は、2003年末ころより急激に被害が拡大しているオンライン詐欺行為。主にメール本文のURLをクリックさせることで、本物そっくりの偽サイトにユーザーを誘導し、クレジットカード番号や銀行口座番号などの個人情報を入手することが目的となっている。
英国の調査会社MessageLabsの調査では、2003年9月時点でのフィッシングメール(フィッシング詐欺サイトへ誘導するメール)は月間279種類だったが、1年後の2004年9月には200万種類、2004年11月には452万種類にまで急増していると報告されている。太田氏は、「日本でもオンラインショッピングやオンラインバンキングが急速に普及している。一方で、2004年にはVISAジャパンやYahoo! Japanなど、日本の有名企業サイトが実際にフィッシング詐欺の標的となっており、巧妙さも増している。インターネットは、便利さに比例して危険も増している」と警告した。
PhishSafeはサーバ側とクライアント側を電子証明書による認証と、ユーザーがあらかじめ登録しておくパーソナル・メッセージ(PAM)によって相互認証することで、サーバ側の詐称やクライアント側からの個人情報流出を防ぐ。具体的には、PhishSafeのサーバソフトウェアを“保護対象サイト”に導入すると、その保護対象サイトを利用しているユーザーは、同サイトから「PhishSafe CPI」というプラグインをダウンロードおよびインストールし、それぞれのソフトウェアが相互認証を行う。
PhishSafe CPIはInternet Explorer(IE)のプラグインとして動作し、IE上部にツールバーのように表示される。PhishSafe CPIをインストールしたユーザーは、インターネット上のサイトに接続するたびに、PhishSafeをインストールしたサーバかどうかを判断。相互認証できないサーバ上でユーザーIDやパスワードなどを入力しようとすると、警告文をポップアップ表示して情報漏えいを警告する仕組みだ。その警告文には、ユーザー自身が登録したPAMが表示されるため、「万が一、PhishSafeのポップアップを偽装した詐欺が登場しても、その文章を表示できなために偽者だとバレる仕組み」(イーセキュリティ・ジャパン CTO エレズ・シュワルツ〔Erez Schwarz〕氏)だという。
また、VISAやMasterなどのカード会社が提唱しているクレジットカード決済システムの標準プロトコル「3D-Secure」に準拠している点も特徴だ。カード会社は3D-Secureに加えてPhishSafeも利用することにより、「ユーザー認証方法をもう1段階増やすことができる。これにより、ユーザー、カード会社ともに安全性が増す」(シュワルツ氏)と説明した。実際に3D-Secureに加盟しているオンラインショップで買い物をしたとすると、オンラインショップ側がPhishSafeを導入していなくても、提携カード会社側が導入していればPhishSafeが機能するため、小売店の負担増加にならないという。
そのほか、同期プロトコルを用いた既存データベースと同期する機能や、中央モニタリングサーバとしてデータを収集する機能などを搭載しており、さまざまな利用方法が存在するとしている。
(@IT 大津心)
[関連リンク]
イーセキュリティ・ジャパン
[関連記事]
「フィッシング110番」にリンリンリン、警察庁 (@ITNews)
来年もフィッシング詐欺被害は増える、シマンテック (@ITNews)
フィッシング詐欺はプロ詐欺師の犯行へ進化、トレンドマイクロ (@ITNews)
いまそこにあるフィッシング詐欺、シマンテックが実態調査 (@ITNews)
うそメールでフィッシング詐欺の「予防訓練」、トレンドとNTT西 (@ITNews)
スパム、フィッシング詐欺に対応したノートン セキュリティ最新版 (@ITNews)
情報をお寄せください:
最新記事
|
|