 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
「サーバーを認証する」ことでフィッシング詐欺を防ぐソリューション |
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
PhishWallは、オンラインバンキングなどのサービスを提供するWebサイトのサーバーとクライアントPC双方にそれぞれ専用ソフトを導入し、クライアントが接続するWebサイトに対して正規のサイトであることを認証することで、フィッシング詐欺を防止するシステム。クライアント側のソフトはIE(Internet Explorer)のプラグインで、ツールバーとしてWebブラウザに表示され、正規のサイトであれば青信号、虚偽のサイトであれば赤信号といったサインや接続しているサーバーがある国を国旗で表示するなど、フィッシング被害に遭う確率が高い初心者でも理解しやすいインターフェイスを採用しているのが特徴。 システムとしては、クライアント版PhishWallを導入しているエンドユーザーが、サーバー版PhishWallを導入しているWebサイトにアクセスすると、サーバー側が個々のクライアント側に対して登録証明書を発行する。証明書を受け取ったクライアントは2回目以降にWebサイトにアクセスする際に証明書を送信し、適切な応答があった場合は青信号を表示し、応答がない場合や異常があった場合は赤信号を表示して虚偽のサイトであることをユーザーに伝える。 同社取締役 テクニカルディレクターの田島久行氏は「クライアント側からWebサーバーの真正を確認する認証技術であるため、出現したばかりの虚偽のサイトにも対応する」と、従来のブラックリストデータベースを参照するシグネチャ形式との違いを説明する。 クライアント版PhishWallは同社サイトなどからのダウンロードやバンドルなどでの提供が予定されている。サーバー版PhishWallは同社またはパートナーから販売され、料金は接続するエンドユーザー数に応じた年間課金制となる。同社では50,000ユーザー規模で1ユーザーあたり600円/年を予定しているが、発売当初はキャンペーン価格も適用するという。 対応OSはクライアント版がWindows 98SE以降、サーバー版はWindows 2000 Server/Server 2003。そのほかのOSへは次バージョン以降での対応を検討しているとのこと。同社ではクレジットカード会社や金融・証券、物販、官公庁・自治体などを対象にとし、初年度で1億5000万円の売上を目標としている。 フィッシング詐欺は、WebサイトのURLや元となるメールの送信元の詐称といった技術的な手法に加えて、サイトのデザインやメールの文面を本物であるかのように見せかけるといった人間の心理を突く「ソーシャルエンジニアリング」のテクニックが用いられる。 典型的な手法として同社が挙げるのが、正規を装ったメールで虚偽のサイトに誘導し、IDとパスワードを入力させる。リンク先のページで「情報の再入力が必要」などとして個人情報やクレジットカード番号などを入力させ送信すると、ユーザーを正規のサイトに移動させ何事もなかったようにするというものだ。
プリンシパルセキュリティアナリストの星澤裕二氏は、メール中のリンクをクリックしない、目的のサイトのURLが正しいかをチェックするなどの自衛手段があるとしながらも「すべてのユーザーがフィッシング詐欺にだまされないようなセキュリティ意識を持つのは事実上不可能。わかりやすく確実な防御ソリューションが求められる」とPhishWallの必要性を訴えた。 ■ URL 株式会社セキュアブレイン http://www.securebrain.co.jp/ ニュースリリース http://www.securebrain.co.jp/news/index.html ■ 関連記事 ・ 「予想以上にオンライン詐欺がまん延し始めている」-シマンテック調査(2004/11/19) ・ セキュリティ専門家3氏、フィッシング詐欺の国内上陸本格化を警告(2004/10/25)
( 朝夷 剛士 )
|
