PR

1月30日にWindows Vistaが一般向けに登場したのを機に、新たなフィッシング対策が広まりそうだ。三菱東京UFJ銀行などのメガバンクやヤフーは、VistaとInternet Explorer 7が備えるフィッシング対策技術の導入に向けた検証を開始した。


本記事は日経コンピュータ 2月5日号に掲載予定のレポートより、本文のみを抜き出したものです。そのため図や表が割愛されていることをご了承ください。

 三菱東京UFJ銀行やみずほ銀行、三井住友銀行のメガバンク3行やヤフーなどが検証を進めているのは、「EV SSL(Extended Validation SSL)証明書」と呼ばれる新しい電子証明書を使った、Webサイト認証技術である。

 「フィッシングの手口はますます巧妙になりつつある。利用者の安全にかかわる技術である以上、導入の選択肢として考慮している」(ヤフー広報)。三菱東京UFJ銀行も、「セキュリティを脅かす様々な手口が出てくるなかで、EV SSL証明書は有効な技術の一つとしてウオッチしている」と話す。

 各社とも、具体的な導入計画については未定としているが、EV SSL証明書によるサイト認証機能は、Windows VistaとInternet Explorer 7が標準で備えるもの。今後1、2年で大半のパソコンで利用できるようになることから、採用する可能性は高い。

 SSLに比べて、フィッシング・サイトを見分けやすくなるのが、EV SSLを使った認証の特徴だ。EV SSL証明書の発行を受けているWebサイトに、VistaのIE 7などでアクセスすると、ブラウザのアドレス表示部分が白から緑色に変わる。セキュリティ・ベンダーなどが公開している「ブラックリスト」に載っているサイトだったり、EV SSL証明書の期限が切れていたりする場合は、赤色になる(図)。SSL証明書を使うブラウザでは、通信を暗号化していることを示す錠前アイコンの形が変わるだけで、フィッシング・サイトかどうかは明示できなかった。

 EV SSL証明書は、セキュリティ・ベンダーなどから成る団体「CA ブラウザ・フォーラム」が2006年10月に策定した。認証を受ける企業は、電子認証サービスのベンダーと契約し、EV SSL証明書を発行してもらう。

 「EV SSLは企業の登記簿謄本などを確認した上で発行する。SSLは通信を暗号化するだけで、サイトの企業が実在するかどうかは認証の対象外だった」(認証ベンダーのサイバートラスト)。

 EV SSL以外の技術を導入するケースも出ている。静岡銀行などの地銀数行は、電子透かしを利用したフィッシング対策システムを導入し始めた。

 銀行は、自社のWebサイト上の画像データを、電子透かしを埋め込んだものに入れ替えておく。専用モジュールをインストールしたパソコンでWebサイトにアクセスすれば、認証ベンダーが運営するサーバーが電子透かしを照合して真偽を判定。疑わしいサイトの場合は、利用者のブラウザに警告を表示したり、サイトへのアクセスを防止したりできる。

 2006年11月に、電子透かしを使ったフィッシング対策システムを導入した静岡銀行は、NTTコムウェアの「PHISHCUT(フィッシュカット)」を採用した。月額25万円で10万回まで認証できる。

(玉置 亮太)