そのサイトは本物？あなたは本物？：ケータイの防衛大作戦（2/2 ページ）

[ITmedia]

　フィッシング詐欺の目的の大部分は、ユーザーのIDやパスワードを入手することだ。そして、犯罪者はIDとパスワードでユーザーになりすまし、金品や情報資産の奪取、さまざまなサービスを不正に利用しようとする。

　簡単な文字列で構成されるIDやパスワードは入手されやすいのが現状だ。そこで、より確かな方法で本人だと証明する方法が「電子証明書」による認証となる。

電子証明書が求められる背景（RSA Conference 2007講演より）

　電子証明書は、第三者的な立場の認証機関が発行する。サービス提供者であれば、RSAのような認証ベンダーが正しいWebサイトであることを認定して証明書を発行する。ユーザー側には、契約しているキャリアがユーザーに証明書を発行する。

　ユーザーとサービス提供者の双方が、お互いに自身の証明書を確認し合うことで、安全性の高いセッションを築くことができる。同時にデータを暗号化するサービスを組み合わせれば、安全性と高めることができるだろう。

　電子コマースやインターネットバンキング、また企業では社外から社内のシステムなどへアクセスする際に電子証明書が利用利されている。NTTドコモの「FirstPass」サービスは、ユーザーとサービス提供者が電子証明書を安全に取り交わすため仕組みを提供している。FOMA端末では、すでに3000万台以上が電子証明書サービスに対応しているという。

　だが、携帯電話ではキャリアが発行するユーザー証明書を登録できても、企業が社員などへ独自に発行する証明書（オリジナル証明書）を登録できないという制限があった。オリジナル証明書を用いれば、重要な業務の申請や稟議決済、また行政機関への申請（納税申告など）も、携帯電話から安全に行えるという。

オリジナル証明書の利用例（RSA Conference 2007講演より）

　現在、この機能を利用できるのはFOMA 903iシリーズの一部機種が対応しており、今後は新発売される端末で対応が広がるとみられる。重要な情報を安全に取り交わすには、ID、パスワード以外に電子証明書や暗号化の利用が必須となっている。