手軽な双方向認証技術、ヤフーと産総研がフィッシング対策で開発

ヤフーと産業総合研究所は、手軽に双方向認証を行い、フィッシングやなりすましを見抜くための新たなパスワード認証プロトコルを開発した。

» 2007年03月26日 17時20分 公開
[高橋睦美,ITmedia]

 ヤフーと産業総合研究所(産総研)は3月23日、新たなパスワード認証プロトコルを開発したことを明らかにした。Webサイトとユーザーが互いに認証を交わすことで、偽のWebサイトを用いてユーザーIDやパスワード、個人情報などを盗み取るフィッシング詐欺への根本的な対策を図るという。

 ヤフーによれば、オークション詐欺による被害額は減少しているが、他人のIDを悪用する不正アクセスは減っていない。「不正利用検知モデルの導入をはじめとする対策が進むにつれ、IDの取得が困難になり、優良参加者のIDを盗み取って不正アクセスするケースが増えているのではないか」と、同社オークション事業部長の八代峰樹氏は述べている。

 こうした背景を踏まえ、根本的なフィッシング詐欺対策として両者が開発した認証技術は、PAKE(Password Authenticated Key Exchange)と呼ばれる認証プロトコルをベースに、いくつかの拡張を加えたものだ。電子証明書を用いた双方向認証(SSLクライアント認証)に比べ、少ない手間とコストで、ユーザーと本当のサイトが相互に「正しい相手と通信している」ことを確認できるようにする。

 具体的には、あらかじめ登録(交換)しておいたパスワードに、乱数を用いて加工を加えた秘密の情報を交換し、相互に認証を行う。正しいパスワードを入力したにもかかわらず認証に失敗した場合には、フィッシングサイトであると判断する仕組みだ。パスワードそのものを送信するわけではないため、偽サイトとやり取りした場合でもパスワードが詐取される恐れはない。

 ワンタイムパスワードでも課題になっている「中間者攻撃」に対しては、ホスト名やIPアドレスなどを組み合わせ、接続先情報を確認することで対処する。中間者攻撃とは、通信経路に偽のWebサイトなどを用意し、ユーザーとの通信を中継しながら傍受する手口だが、秘密情報の生成時にドメイン情報を組み合わせることで、偽サイトが間に挟まっていることを判別できるようにした。

 通信データを暗号化する場合は、Webで広く利用されているHTTPSに相乗りする。HTTP Authentication(RFC 2617)を拡張し、ベーシック認証やダイジェスト認証と同様のフレームワークを活用して暗号化を行う仕様とした。

 この認証技術は、まず、サーバ側ではApacheの拡張モジュールとして、クライアント側ではFirefoxの拡張プラグインとして実装されている。偽装が困難なアドレスバーの隣にID/パスワード情報の入力欄を設け、Webサーバの拡張モジュールと秘密情報をやり取りし、認証を行う形だ。

 当事者しか知らない秘密情報を元に認証を行う仕組みは、いくつかの商用製品でも実装されている。だがこうした製品は「誰でも使えるわけではなく、製品を購入したサイトでしか利用できない。これに対し今回開発した技術は、無料で利用でき、オープンソースとして公開される」(産総研、情報セキュリティ研究センター主任研究員の高木浩光氏)。悪意を持った人物がツールを購入してしまえば機能しなくなってしまう点も、既存のツールの弱点だという。

 ただ、新たに開発された認証技術でも、最初に秘密情報(パスワード)を交換する際には、電子証明書の配付同様、細心の注意が必要になる。また、パスワード自体についても、推測な困難な程度には強度を持たせることも重要であり、その意味で、ここにワンタイムパスワードを組み合わせると行った実装方法も考えられるという。

 ヤフーと産総研では引き続きこの技術のブラッシュアップを進め、2007年より、Yahoo!オークションでの実証実証を実施するとともに、標準化を推進。インターネットドラフトの起草にも着手するという。

 ただし、「フィッシング対策においては、やはりユーザーのリテラシーを高めること、啓蒙が第一」(産総研の情報セキュリティ研究センター、副研究センター長、渡辺創氏)。焦ってアドレスバーの確認を忘れたり、うっかりして紛らわしいドメイン名を見逃してしまった場合に、注意を喚起し、被害を食い止める手段として活用していければという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ