これでヤフオクを舞台にしたフィッシング詐欺はなくなる?

2006/1/31

 独立行政法人 産業技術総合研究所 情報セキュリティセンター(Research Center for Information Security:RCIS)とヤフーは1月30日、インターネットにおけるセキュリティ強化技術の共同研究を開始することで合意したと発表した。RCIS 副研究センター長 渡辺創氏は、「現在の認証はIDとパスワードがほとんどだが、これを複雑化せずによりセキュリティの高い認証方法などを提供したい」と抱負を語った。

ヤフー オークション事業部 企画室長 八代峰樹氏
  この研究では、RCISとヤフーが共同で「Yahoo!オークション」におけるフィッシングによるIDやパスワード詐取による犯罪、不正利用を防止するための新しいセキュリティ技術の開発を目指す。ヤフー オークション事業部 企画室長 八代峰樹氏は、「予算は年間2000万円を両社で折半して負担する。研究者はそれぞれ3名程度がそれぞれの研究所で研究し、会合を持つ。年内に実証実験の実施まで持っていくのが目標だ」と語った。

 Yahoo!オークションは、年間取扱高6500億円以上、月間ページビュー66.8億PV、月間ユニークブラウザ2200万ブラウザを誇る日本最大級のオンラインオークション。「売上高6500億円は大手百貨店以上であり、いまではストアも5900店が出店しており、BtoCも盛んになってきている」(八代氏)と自信を見せる。一方、利用者が増えるにつれて詐欺事件なども多発。ヤフーでは、サービス開始当初の2000年からさまざまな詐欺対策を実施しているという。八代氏によると、「2004年7月に開始した郵便物による住所確認によって、詐欺者がIDを取りにくい体制になった。これに焦った詐欺者が『強引にIDを乗っ取ろう』という発想になり、フィッシング詐欺などを開始したのではないだろうか」と分析した。

 ヤフーが2005年夏ころからフィッシング詐欺サイトなどの調査を開始したところ、2005年12月時点では、1日に1〜8件(12月計46件)のフィッシング詐欺サイトを発見。多くは、「Yahoo!オークション通知」を偽装したメールや「Yahoo! JAPANのお知らせ」を騙るメールなどからフィッシング詐欺サイトに誘導し、IDとパスワードを入力させて詐取する手法だったという。「このように、当社の外部サーバで詐欺を行われた場合には、当社でいかにさまざまな対策を行おうとも、どうしようもないというのが現状だ。現時点では、『偽サーバにつないでも被害を最小限に抑えられる新しい認証システムの研究』が重要だと考え、今回の共同研究に至った」と説明した。

RICS 副研究センター長 渡辺創氏
  RICSは、情報セキュリティに関する各分野の第一人者をリーダーとして招へいしているセキュリティ専門の研究所。チームは、ICカードや量子情報通信といったハードウェアセキュリティ技術のチーム、安全なソフトウェア構成技法を研究するソフトウェアセキュリティ研究センターチーム、暗号技術や人的な対応技術などセキュリティ製品で利用される基盤技術チームの計3チームで構成されている。渡辺氏は、「おのおののチームが別々に存在している研究所はあるだろうが、これらの3チームが1個所に集っているのはRICSだけだろう。これによって、お互いに影響し合い、高い成果を出せるのではないだろうか」とコメントした。

 渡辺氏は、共同研究に至った経緯を「RICSが開発した技術や成果を国民に還元することが目標の1つだ。開発した技術は標準化し、広く一般で使ってもらいたいと考えている」と説明。研究では、現在のYahoo!オークションが採用しているID・パスワード認証の問題点を洗い出し、より強固な認証技術の研究を行う。しかし、Yahoo!オークションに特化したものではなく、ほかのシステムとの連携や標準化も視野に入れた研究を行う。

 渡辺氏は、開発イメージを「クライアントが暗号化した認証データをサーバに送信すると、正規サーバは検証データを送り返し、認証データと検証データが正しく検証できた場合には通信を行う。一方、偽サーバは正しい検証データをクライアントに送信できないので、認証データを入手することができないような仕組みをイメージの1つとして描いている。現時点では、アイデアはいくつかあるが、検討中という段階だ。これを形にして、年内に実証実験まで持っていきたい」とコメントした。

(@IT 大津心)

[関連リンク]
ヤフーの発表資料

[関連記事]
ネット詐欺、絶対被害に遭わない自信がある人は2.4% (@ITNews)
肖像権侵害出品は即刻削除、Yahoo! オークション (@ITNews)
ネット銀行事件、「そうはいってもネット銀行ができる対策は?」 (@ITNews)
ヤフーBB全会員に500円、情報流出事件で孫氏が謝罪 (@ITNews)
「ヤフーが馬鹿だから……?」、NetApp社長が漫談を一席 (@ITNews)
迷惑メールの"撲滅"を決意した、ヤフーとMS (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)