フィッシングではエンドユーザー側の対策に注意が集まりがちだが、なりすまされるサービス事業者の側にできることはないだろうか? まずメールでの対策から考えてみよう。
金融機関やショッピングサイトなどのサービス事業者になりすましたメールでサービス利用者を本物そっくりの偽サイトへ誘導し、そこからユーザーのID/パスワードやカード情報を盗む「フィッシング(Phishing)」が日本でも増えてきている。
フィッシングで直接的な被害を受けるのはサービスの利用者であり、そのほとんどはコンシューマーだろう。例えば、オンラインバンキングのID/パスワードやクレジットカード情報が盗まれ、それらが悪用されることによって、金銭的な被害を受ける事件が増えている。
しかし同時に、フィッシングでなりすまされたサービス事業者にも、被害を受けた利用者に対するサポートや補償に掛かるコスト、信用やブランドイメージの低下、または不安によるサービス利用者の減少といった間接的な被害が発生する。
そのためサービス事業者は、個々の利用者がフィッシングにだまされないように注意を喚起するだけでなく、自社のサービス利用者がフィッシングにだまされないように保護し、サービス利用者に「安心」を提供することが求められてきている。
サービス事業者が行うべきフィッシング対策としては、まず第一に自社のWebサイトがフィッシングにかたられないようにする対策が挙げられる。例えば、「SSLと適切なサーバ証明書を利用する」「クロスサイトスクリプティングなどのWebアプリケーションの脆弱性をなくす」「利用者の認証手段を強固にする」といったことが必要であり、既にこうした対策を講じているサービス事業者も多いであろう。
しかし、それと同時に、サービス事業者になりすまして送られたフィッシングメールにサービス利用者がだまされないように対策することも必要だ。つまり、フィッシングによるなりすましメールを防ぎ、サービス事業者が送付した正当なメールを安心して利用者に読んでもらうことが重要なのだ。
この記事では、サービス利用者がなりすましメールにだまされないために、サービス事業者が行うべき対策について紹介する。前半では、なりすましメールを防ぐ技術について、後半ではより実務的な対策について紹介する。
●なりすましメールの送信は防止できない
フィッシング詐欺では、まずなりすましメールを送付し、偽サイト(フィッシングサイト)へサービス利用者を誘導する手口がほとんどだ。したがって、なりすましメールを防止する、またはサービス利用者がなりすましメールであることを判別できるようにすることで、サービス利用者をフィッシング詐欺から守れる可能性が高くなる。
現状のインターネットメールの仕組みでは、なりすましメールを送信するのは非常に簡単であり、またそれを禁止することもできない。そのため、メールがサービス利用者に届く前になりすましメールであることを判定して遮断する、またはサービス利用者自身がなりすましメールであるかどうかを判断できるようにする何らかの手段が必要となってくる。
・なりすましメールを受信時に検知して防ぐ
→送信ドメイン認証
・なりすましメールであることをユーザーが判断できるようにする
→送信者認証
ここでは、これらの目的を満たすために現在注目されている2つの技術、「送信ドメイン認証」と「(電子署名による)送信者認証」について、それぞれの技術の概要と現状の課題について説明する。
送信ドメイン認証とは?
送信ドメイン認証とは、なりすましによるスパムメールやフィッシングメールに対処するために提案されている技術だ。
具体的には、受信者側のメールサーバが送信者側のメールサーバからメールを受け取る際に、送信者のドメインから本当に発信されたものであることを確認する技術である。この手法を用いると、送信者のドメイン以外から送信されている場合には、受信者側のメールサーバにおいてなりすましメールであると認識でき、メールを破棄して受信者に届けない、またはなりすましメールであることを受信者に警告する、といった対策を講じることが可能となる。
送信ドメイン認証は、もともとなりすましによるスパムメールへの対策として考え出された技術であるが、なりすましメールでユーザーを騙だますフィッシング対策として非常に有効であると注目が集まっている。
●「SPF/Sender ID」と「DKIM(DomainKeys)」
送信ドメイン認証の技術を大別すると、送信者側のメールサーバのIPアドレスが正しいかどうかを確認する「SPF(Sender Policy Framework)」や「Sender ID」、および電子署名技術を使用して送信者のドメインから送信されたことを確認する「DKIM (DomainKeys Identified Mail)」の2種類がある。
それぞれの技術の詳細や具体的な利用方法については、ほかの記事(「フィッシング/詐欺メールの脅威とその対策」)を参照していただくとして、ここでは各技術の概略を説明する。
Copyright © ITmedia, Inc. All Rights Reserved.