サーバとクライアントで相互認証

ヤフオクで実証実験、詐欺防止の新技術を分かりやすく解説

2007/03/23

 ヤフーと産業技術総合研究所(産総研)は3月23日、「Yahoo!オークション」などのネットサービスで問題となっているフィッシング詐欺の被害を防止する新しい認証プロトコルを開発したと発表した。2007年度中にYahoo!オークションで実証実験を開始。オープンソースコミュニティにも寄贈し、業界の標準技術になることを目指す。産総研の情報セキュリティ研究センター 副研究センター長 渡辺創氏は「フィッシング問題を根本から解決する技術」と自信を見せている。

 フィッシング詐欺は本来のWebサイトに似せた偽のWebサイトにユーザーが誘導され、IDやパスワード、個人情報が盗まれる詐欺。ECサイトやネットバンクなどはさまざまな防止策を投入しているが完全な技術はまだないのが現状だ。

yahoo01.jpg Yahoo!オークションでの被害状況の推移。「詐欺被害は減少しているが他人のIDを盗む不正アクセスは減っていない。ヤフーがオークション詐欺の対策をすればするほど、(詐欺を働く人の)正規IDの取得が難しくなり、優良IDの詐取が増えている」(ヤフー オークション事業部長 八代峰樹氏)

クライアントとサーバが相互に認証

 ヤフーと産総研が開発した「Webに適したパスワード相互認証プロトコル」(以下、相互認証プロトコル)は、クライアントとサーバが相互に認証し合う「PAKE」(Password Authenticated Key Exchange)の1つである「ISO/IEC 11770-4」を基盤として設計した。相互認証プロトコルでは、クライアント側で入力したパスワードが乱数によって暗号学的に加工されてサーバに送信され、サーバはその加工されたパスワードを検証する。

 対して、サーバはユーザーのパスワードとして事前に登録されている情報を加工してクライアントに返す。クライアント、サーバともが、返ってきた情報を暗号学的な方法で検証し、そのパスワードが正しいかをチェックする。従来はサーバ側だけがパスワード確認していたが、サーバから返される情報をクライアントが検証することで、偽のサーバに接続していないかを確かめられる。相互認証プロトコルを使えばフィッシング詐欺サイトでパスワードを入力してしまっても、情報が加工されているため、パスワードを盗み取られない。

HTTPSと組み合わせて暗号化

 相互認証プロトコルでは従来どおり、IDとパスワードを使って認証することができ、ユーザーが新しい仕組みを覚える必要がない。通信データを暗号化する場合はHTTPSとPAKEを組み合わせ、不要な場合はHTTPとPAKEを組み合わせる。HTTPアクセス認証(RFC 2617)を拡張し、Basic認証、Digest認証と同じフレームワークを使った「Mutual認証」を新たに開発した。

 ヤフーと産総研はこの相互認証プロトコルを実現するためのApacheモジュールと、クライアント側として「Mozilla Firefox」の拡張機能を開発した。それぞれオープンソースソフトウェアとしてコミュニティに提供する。

yahoo02.jpg 相互認証プロトコルのWebブラウザでの利用イメージ(ヤフー、産総研の発表資料から)

ホスト名利用で中間者攻撃に対応

 ただ、PAKEは、フィッシング詐欺の新しい手法である中間者攻撃には無力。中間者攻撃は偽サイトがユーザーと本物サイトの通信を中継し、情報を傍受したり、改ざんするアタックで、PAKEの仕組みではクライアントと本物サーバの相互認証が成立してしまう危険があるという。つまり「認証成功しても偽サイトと通信しているかもしれない」(渡辺氏)というリスクが残る。

 そのため相互認証プロトコルには、パスワードを暗号学的に加工する際に、接続先のホスト名を取得したうえで、そのホスト名を使って加工するようにした。クライアントとサーバがお互いのホスト名を正しく取得しないとパスワードを正しく加工できないことになる。中間者攻撃が行われていて、本物サーバとクライアントの間に偽サイトあると、本物サーバ、クライアントとも、偽サイトのホスト名を取得することになり、パスワードを正しく加工できない。結果として認証が失敗するので、ユーザーがアタックに気付くという仕組みだ。

 ヤフーは2007年度中に相互認証プロトコルの実証実験をYahoo!オークションで行う。実証実験には数十万人の参加を見込む。また、相互認証プロトコルはRFC化を目指して、Internet Draftを起草する予定。Firefox以外のWebブラウザへの実装も働きかけ、将来的にはブラウザに標準搭載されることや、他社のサービスでも活用されることを目指す。渡辺氏は「技術的には完成度は高い。実装には考えることがまだまだあるだろう」と話した。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)