認証と登録メッセージの二本立てでフィッシングを防止「PhishSafe」

イーセキュリティ・ジャパンは、イスラエルのiBIZ Softwareが開発したフィッシング詐欺対策ソフト「PhishSafe」の販売を開始する。

[高橋睦美，ITmedia]

　イーセキュリティ・ジャパンは10月19日、イスラエルのiBIZ Softwareが開発したフィッシング詐欺対策ソフト「PhishSafe」の販売を開始することを明らかにした。

　フィッシング詐欺は、あたかも本当のオンライン銀行やオークションサイトのように見せかけた「偽Webサイト」にユーザーを誘導し、「セキュリティ確保のため」などともっともらしい理由をつけてユーザーIDやカード番号といった重要な情報を入力させるよう仕向け、情報を掠め取る行為だ。このこの半年ほどで被害が急増し、サイト運営者とユーザー、双方の対策が急がれている。

　PhishSafeはこの詐欺行為を、電子証明書による認証と、ユーザーがあらかじめ登録しておくパーソナルメッセージの確認という二本立ての手段で防止するソフトウェアだ。

　製品は、オンラインショップや金融機関側に導入される「PhishSafeサーバ」と、エンドユーザーのWebブラウザにインストールするプラグイン「PhishSafeCPI」から構成されている。このプラグインはInternet Explore 5以降に対応しており、Firefoxをはじめとする他のブラウザについては「対応を進めているところ」という。

　ユーザーが正しいサーバにアクセスした場合は、電子証明書による認証の結果、「認証された正しいWebサイトである」ことを示すポップアップメッセージが表示される。ウィンドウには同時に、ユーザーがあらかじめ登録しておいたフレーズ（内容は何でもいい）も示され、二重に確認を行う仕組みだ。この2つの手法を組み合わせることで、ユーザーと正当なWebサイトの間に立って入力内容を中継する偽Webサーバを立てて情報を入手しようとする試みも防げる、と同社では説明している。

　逆にフィッシング詐欺を仕掛ける偽サイトにアクセスした場合、まず認証が失敗する。それを受けてWebブラウザのツールバーには警告が表れ、「このサイトは認証されておらず、重要な情報は入力すべきでない」と注意をうながすウィンドウがポップアップされる仕組みだ。しかもこのとき、偽サイトが存在していることを正規サイトの運営者に通知することも可能といい、「顧客に注意を呼びかけるなど、それ以上被害者が出ないよう対処することができる」（iBIZ SoftwareのCEO、ヤロン・チャルカ氏）。

　「われわれの製品はフィッシング詐欺を監視し、警告するだけでなく、プロアクティブに働き重要な情報を送る前に防止できる」（チャルカ氏）。その意味で、正面から競合する製品は今のところ存在しないとした。

　イーセキュリティ・ジャパンでは現在、PhishSafeの日本語化を進めるとともに、国内金融機関やクレジットカード発行会社、オンラインショップなどとの間で導入に向けた話し合いを進めている。中には評価中のところもあるといい、今年末から来年にかけて採用される見込みということだ。価格は未定である。

　同時に、3D-Secureプロトコルを実装し、認証をより強固なものにする「CommerSafe」も販売する。SET方式とは異なり、購入者とカード会社が直接認証を行うことによりオンラインショップの成りすましを防ぎ、カードの不正利用や情報流出を防止できること、運用コストの削減が可能なことなどが特徴だ。こちらも金融機関やオンラインショップ向けに販売していく。