[Analysis]

フィッシング詐欺を駆逐する技術

2005/11/08

domain.gif

 プロの詐欺師が本気で仕掛ける罠を素人が見抜くのは至難の業だ。例えば映画「スティング」を見れば、そのことを少しは実感できる。しかし、あれは映画の世界の話だ。現実はたぶんもっとシリアスで容赦なく、複雑で、なおかつ巧妙だろう。

 米国の調査会社フォレスターリサーチが行った調査結果をみると、米国のオンラインユーザーに与えているフィッシング詐欺の影響はかなり大きいことがうかがえる。95%が「個人認証情報の盗難を恐れている」とし、26%が「オンラインの金融サービスは使いたくない」と回答している。さらに、20%が「自分が口座を持つ金融機関からでも電子メールは開かない」、19%が「オンラインバンキングや支払いサービスには加入しない」などと答えている。

 先日、筆者が食事をしていると、隣の席で60代過ぎの男女4人がインターネットについて話している場面に出くわした。そのなかの1人の女性が「オンラインバンキングは怖くてできないわ。買い物だってとてもじゃないけど怖くてできないわよ」と話し、周りの3人はしきりにうなずいていた。フィッシング詐欺という言葉こそ知らないが、インターネット上にさまざまな悪意が渦巻いていることを彼らは切実に感じている。消費者が感じる漠然としたこのような負の“雰囲気”が市場に及ぼす影響を無視するのは得策ではない。実際、インターネット市場をけん引する企業は、荒れた大地にせっせと鍬(くわ)を入れるように、地道なセキュリティ対策を施している。

 Yahoo!JAPANがフィッシング詐欺対策として導入を進めている技術に「送信ドメイン認証」というのがある。この技術にはいくつかの異なる仕組みがあるが、Yahoo!JAPANが採用しているのは、米Yahoo!が米シスコ・システムズと共同で開発したDomainKeys Identified Mail(DKIM)である。2007年末には標準化機関IETF(Internet Engineering Task Force)を通過するとされている。

 送信ドメイン認証技術を採用することで、どのような嬉しいことがあるのか。送信ドメイン認証技術は、文字通り、送信者のドメインを認証する技術で、全く違うドメインでありながら、正規ドメイン(例えば@yahoo.co.jpなど)を騙(かた)ることは不可能になる。フィッシング詐欺の大半は、Yahoo!JAPANなどの有名ドメインや有名金融機関などのドメインを騙りながら、受信者の個人情報をだまし取ろうとするので、送信者のドメインが認証され、受信者がそれを確認できる体制が整備されれば、少なくとも現段階でのフィッシング詐欺被害は減るだろう。

 米国ではすでに1日10億通超の認証付き電子メールが行き来しているという。今後、インターネット・サービス・プロバイダなど、電子メールの大量送受信を中継する組織が送信ドメイン認証技術を実装するようになれば、電子メールとは認証付き電子メールを指す状況になるかもしれない。

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)