フィッシング問題は表面化していないだけ――セキュアブレイン星澤氏：企業責任としてのフィッシング対策（2/2 ページ）

[高橋睦美，ITmedia]

　技術というよりは仕組みの問題を悪用し、オンラインの手続きだけで発行できる電子証明書を取得し、堂々と偽造を試みるケースも報じられている。「彼らは、使えるものは何でも使ってくる」（星澤氏）

　その上、フィッシングサイトを用意するのにそれほど手間は掛からない。詐欺サイト構築のためのHTMLファイルやスクリプトが流通しており「悪用する技術を作り、それを売って生計を立てる人、その技術を購入する人という関係がシステマティックに連携するようになっている」（同氏）。それだけ実入りのよい「ビジネス」と見られているのかもしれない。

まずは基本の徹底を

　セキュリティ全般に言えることだが、完全な対策は存在しない。フィッシング対策の場合はさらに「企業側でやれるだけの対策をやるということは重要だが、同時に、利用者側のセキュリティ意識の向上、理解がないと防げない点が難しい」と星澤氏は述べた。

　ただ、前提としてWebサイト側ができる限りの対策を講じておくのは重要だという。「そもそもフィッシング対策やファーミング対策うんぬんという前に、個人情報を入力するページでなすべき対策をきちんと行っていれば、詐欺サイトとの違いは明確になるはず」と同氏。「とりあえず暗号化しておけばいいや」というのではなく、どの技術がどんな攻撃に有効なのかを理解した上で、実装していってほしいとした。

　例えば、スパイウェアを悪用したファーミングへの対処には、HTTPSによる暗号化の適切な利用がポイントになる。しかし「個人情報を送信するフォームの部分だけが暗号化されており、ページそのものは暗号化されていないサイトをしばしば見かける。これではファーミングを仕掛けられたときに、本物かどうか確認する手段がない。残念ながら、クレジットカード会社数社のページが実際にそうなっている。ファーミングによってまったく違うサイトに誘導されたとしても、この構成では鍵アイコンをクリックするなどして確認することができない」（星澤氏）

　日本ベリサインが電子証明書を発行した企業に提供する「セキュアシール」やそれに類する「マーク」の使い方にも考慮が必要だとした。例えば、暗号化されていないHTTPのままのページにシールの画像だけ貼り付けてあっても、あまり意味はないという。ファーミングなどの手法が実際に出てきた今となっては、「トップページにまず画像データを貼っておき、情報を送信する重要なページはHTTPSで暗号化するとともに再度セキュアシールの内容を確認できる形にすれば、より確実に確認できるのではないか」（同氏）

　こうした対策を講じた上で、ユーザーの側でも、セキュリティパッチの適用をはじめとする基本的な対策の徹底と意識の向上が必要だと星澤氏。ただ、今のところ「それをすべてのユーザーに求めるのは困難」なのも事実。それを補完する意味で、対策製品も必要だし、効果や副作用などは未知数だが、フィッシング対策機能が搭載される予定の今後のWebブラウザも、うまくいけば非常に有効になるだろうとした。