「一番の脆弱ポイントはユーザー」――ベリサインがオンライン詐欺検出サービス

日本ベリサインはオンライン取引向けの認証ソリューション「VIP」の概要を説明するとともに、最近のオンライン詐欺の脅威について紹介した。

[堀見誠司，ITmedia]

　日本ベリサインは12月6日、同社の共通認証ソリューション「VIP（VeriSign Identity Protection）」の国内展開に合わせて、オンライン詐欺の最新動向などについて記者説明を行った。

　同社マーケティング部の相原敬雄課長によると、サイバーアタックの最近の傾向として、特定の組織や高度な認証技術を標的に、ボット、アドウェアなどを組み合わせてのピンポイント攻撃や、攻撃者同士のコミュニケーションによる組織的な犯行が増えてきたという。

MetaFisherによる世界各国の活動状況を示したもの。米国やブラジルでの報告が多い

　新しい詐欺手法として、GoogleのAdWordsを悪用してあたかも格安のデジタルカメラの販売サイトを立ち上げたかのように見せかけ、数千人のクレジットカードの番号を盗んだ事例などが挙がった。また、金融系の口座情報を狙うボット「MetaFisher」の洗練された手法もある。Windowsメタファイルの脆弱性を利用して感染するMetaFisherでは、指令コマンドとして通常使われるIRCではなくHTTPが利用され、より多くのボットを操作することができる。さらにHTTPパケットも暗号化されているため、活動の検知が難しい。

　そのほかにも、オンライン詐欺で不正取得したお金の入金経路にユーザーの口座を利用する「運び屋」、電話応答で個人やクレジットカードの情報を盗むVishingなど、金銭目的の詐欺・隠ぺい手法が多様化する中、「結局のところ、セキュリティ上最も脆弱なポイントはユーザー自身にある」と相原氏は指摘する。しかし、人の持つ脆弱性を詐欺から防いでいくためには、仕組みとしてWebサイト、ユーザー双方で強固な認証を施すアプローチが必要となる。ベリサインが提供するVIPは、サイト、ユーザー両面でセキュリティの向上を図る共通認証サービス群だ。

　VIPはすでに10月からのサービス提供が発表されている（関連記事）。その構成要素は、通常のID・パスワードとトークンやスマートカードを組み合わせた2要素認証サービス、およびユーザーのアクセスパターンを学習、行動分析することによりオンライン詐欺行為を検出するサービス（FDS）だ。

VIPで2要素認証を行っているところ。データセンターのFDSサーバに認証トランザクションが渡され、FDSが既知の詐欺検出ルールと行動分析の2つのエンジンを使ってスコアリングし、トランザクションが正しいかどうかを判断する

　VIPでは、ユーザーが業界標準の認証規格「OATH（Initiative for Open Authentication）」に準拠する1個の認証デバイスを使えば、VIPに対応するサイトの複数のサービスで認証を済ませることができる。PayPalやeBay、Yahoo!などがVIPへの対応を表明しており、認証デバイスにはICカード、ハードウェアトークン、USBメモリ、ワンタイムパスワードクライアントを実装する携帯電話などさまざまなツールが用意されている。

　国内でのVIPの導入状況については明らかにされなかったが、いくつかの金融機関でも採用が検討され、実際に導入が進んでいるところもあるという。