偽サーバはそれと気付かせる――ヤフーと産総研が新たな認証技術を共同研究

ヤフーと産業技術総合研究所情報セキュリティ研究センター（RCIS）は、フィッシング詐欺による被害を防止するため、新たな認証技術の共同研究に取り組む。

[高橋睦美，ITmedia]

　ヤフーと産業技術総合研究所情報セキュリティ研究センター（RCIS）は1月30日、フィッシング詐欺による被害を防止するため、共同でセキュリティ技術の研究を進めることを発表した。2月より共同研究を開始し、1年以内をめどに新しい認証技術の設計とプロトタイプの実装、それを用いた実証実験の実施を目指す。

　共同研究の背景には、フィッシング詐欺の増加がある。ヤフーのオークション事業部企画室室長の八代峰樹氏によると「これまで、住所登録とはがきによる住所確認をはじめ、さまざまな対策を施してきた結果、詐欺を仕掛けようとする人にとって新規IDの取得が困難になった。代わりに、今利用されているIDを盗み取ろうとするケースが増えてきている」という。その手段がフィッシング詐欺だ。

　同社によると、2005年12月にはフィッシングメールに関するユーザーからの申告が46件に上った。実被害までは把握できていないものの、フィッシングによるID詐取が相対的に増えているのは事実だという。「フィッシングに遭うと、その人は被害者ではあるが、そのIDが盗用されれば加害者にもなってしまう」と八代氏は述べ、そのようなトラブルに巻き込まれにくい仕組み作りが必要だとした。

　両者が取り組むのは、仮にユーザーがフィッシングメールに騙されて偽サーバにアクセスしても、IDやパスワードの詐取を水際で防ぎ、被害を最小限に抑えられる新しい認証システムの研究だ。

　現在Yahoo！オークションでは、IDとパスワードを用いてユーザーを認証している。その情報はSSLで暗号化してやり取りし、盗聴などに備えている。

RCISの副研究センター長、渡辺創氏

　しかし「今の仕組みでは、通信している相手が本当に本物のサーバかどうかは分からない」（産総研RCIS、副研究センター長の渡辺創氏）。そこで、認証情報を保護しつつ、検証データとの照合により、偽のサーバにアクセスしている場合はそのことを検出できるような新しい仕組みを開発する計画だ。将来的には、他のサービスでも利用できるよう標準化も検討しているという。

　なお、相手の素性を確かめてから通信を確立する仕組みはPKIやIPSecのIKE（鍵交換）プロトコルなどにも見られるが、そうした既存の仕組みは「新たにハードウェアの導入が必要になるなど、導入のハードルが高い」（渡辺氏）。ワンタイムパスワードの導入による認証強化も「ユーザーがさまざまな環境で利用していることを考えると、互換性の面で課題が残るし、コストもかさむ」（八代氏）。

　そこで、できるだけ既存の環境を生かし、ユーザーに負担のかからない方法で実現できるものを考えていくという。併せて、スパイウェアやキーロガーによるID詐取など、認証の強化だけでは防ぎきれない部分をカバーするべく、利用者への啓蒙活動にも協力して取り組む。