[Analysis]

フィッシング詐欺に金融機関は……

2005/03/29

sagi.gif

 PKIベンダがフィッシング詐欺対策ソリューションを相次いで発表している。売り込みたいのは、フィッシング詐欺目的で名をかたられることが多い銀行やカード会社など金融機関だ。しかし、金融機関は、フィッシング詐欺対策としてユーザーへの注意喚起はするものの、現状では対策ソリューションへの関心はいま1つなのだという。

 金融機関を装って電子メールを送りつけ、偽のWebサイトでカード番号やオンラインバンキングのID、パスワードなどを騙し取るフィッシング詐欺は、ユーザーの金銭被害を招くだけでなく、悪用される金融機関のブランドイメージも大きく傷つける。

 エントラストジャパンが2月24日に発表した認証セキュリティ製品「Entrust IdentityGuard」は、金融機関がユーザーに送信する電子メールに、乱数表を使った認証機能を持たせることができる。ユーザーは電子メールに記載された数字と、事前に配布された乱数表の数字を確認。数字が合致すれば、その電子メールが金融機関から送信されたことを確認できる仕組みだ。オンラインバンキングの認証でもID、パスワードのほかに、乱数表の指定の数字を入力させることが可能。エントラストジャパンの営業本部 マーケティング部 部長 広瀬努氏は「強固な2要素認証を実現できる」としている。

 日本ベリサインは、企業が発信する電子メールに電子署名を発行する新サービス「ベリサイン セキュアメール ID」を4月下旬に開始する。個人ではなく、企業が所有する企業名の電子メールアドレスに対して電子署名を発行する。メールを受信したユーザーは、電子署名を確認することでメール送信者の企業が実在すること、そのメールが改ざんされていないことを確かめられる。ビートラステッド・ジャパンも2004年12月にSSLサーバ証明書やメール送信者確認の技術を組み合わせたフィッシング詐欺対策を発表した。

 各ソリューションとも電子メールの送信者を確認できる内容で、偽装メールによるフィッシング詐欺の被害を防止する。だが、金融機関の引き合いはいまいちのようだ。あるベンダによると、ソリューション発表後に問い合わせで一番多かったのは、個人情報保護法対策で社内の認証を強化しようとする一般企業。金融機関は個人情報保護法対策とともに、偽造キャッシュカード対策に手一杯なのが現状だ。フィッシング詐欺対策に本腰が入るのはもう少し先になりそうだ。

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)