 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
オンラインサービス事業者向けのフィッシング対策ソリューション |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
フィッシング(Phishing)とは、メールなどの手段でユーザーを偽のWebサイトへ誘導し、ID/パスワードなどの情報を不正に取得しようとするセキュリティ攻撃。イーセキュリティのCTO、エレズ・シュワルツ氏が引用したMessageLabsの調査によれば、2003年9月には279種類だったものが、2004年11月には452万種類に達するなど、増加の一途をたどっている。手口もより巧妙化しており、「ほとんどのユーザーは、技術的な、微妙な差異には気付かない。偽物を見破るのは困難」(シュワルツ氏)な状況だ。また、自社の顧客に対してフィッシングが仕掛けられた場合、企業イメージにダメージを受けるだけでなく、「顧客の損失を補償する必要が生じる場合もあり、大きなリスクが存在する」(同氏)。 そこでイーセキュリティではPhishSafeを日本市場に投入し、フィッシングから企業とその顧客を守る手段を提供する。実際の使用に際してはまず、PhishSafeを採用したWebサイトの管理者が、ユーザーにCPIを配布する必要がある。次にユーザーは、これをPCにインストールしてPhishSafe導入済みサイトへアクセスし、そこで認証を受けてフィッシング対策機能を有効にする。そうすると、その後はPCのIE上のツールバーに、正当なWebサイトなのか、そうでないのかを表示することができるようになる。このため、PhishSafe導入済みサイトにそっくりな偽サイトへ誤ってアクセスした場合でも、容易に偽物であることを判断できるという。 ■ ポップアップウインドウにより、安全かどうかを確認可能
さらにポップアップウインドウのうち、PhishSafe導入済みサイトの場合に出るものには、ユーザーがあらかじめ登録しておいた認証メッセージ(認証されたWebサイトです、アクセスして大丈夫です、など任意で設定できる)を埋め込むことができる。ユーザーはこれによって、ウインドウ自体が偽物でないことも確認可能という。また、承認されていないWebサイトへのデータ送出警告を、PhishSafe導入済みサイトの管理者へ送信する機能も備えているため、管理者は偽サイトの存在をいち早く把握できるとのこと。 なおこのソリューションは、PhishSafe導入済みサイトのみを、正当なものかどうかをチェックする仕組みのため、すべてのフィッシングからユーザーを守るものではない。それでもシュワルツ氏は、「競合ソリューションは偽サイトの発見・迂回(うかい)を中心にしたものや、フィッシングメールの調査を中心にしたもの。PhishSafeでは、クライアントとサーバーの双方向の認証を行うことが可能」とし、オンラインサービス提供側の立場からは、より確実な防御が提供できると主張した。 ■ URL イーセキュリティ・ジャパン株式会社 http://www.esecurity.co.jp/ PhishSafe http://www.esecurity.co.jp/products/phishsafe_html
( 石井 一志 )
|
