フィッシング詐欺を防ぐため、銀行のみが利用できる新ドメインを創設すべき――。こんな提言に対し賛否両論が相次いでいる。
銀行サイトなどを装ったフィッシング詐欺を食い止める一策として、セキュリティ関係者が銀行専用のトップレベルドメイン(TLD)「.bank」の導入を提言している。しかしその効果をめぐっては、業界内でも賛否両論あるようだ。
セキュリティ企業F-Secureのミッコ・ヒッポネン氏はブログでICANNに対し、セキュアなドメインを新たに創設すべきだと提言した。
銀行や金融機関サイトは現在、「.com」や「.jp」といった一般的なドメインを使っているが、これが原因で、銀行サイトに見せかけたURLを誰でも簡単に登録でき、詐欺サイトを設置することができてしまうと同氏は言う。
こうした事態に対処するため新しいセキュアなドメインを創設し、正真正銘の金融機関しか登録できないようにすべきだとヒッポネン氏は提言。ドメイン登録料も5万ドルくらいに設定し、悪用目的では簡単に手が出せない価格にすることを提案している。
この提言に対し、質問や反論も多数寄せられている。セキュリティコンサルタント会社SecTheoryが運営する「ha.ckers.org」のブログでは「.bankで経験則の問題は一部解決されるかもしれないが、さらに多くの問題が作り出される」との見方を示した。
その理由として、銀行が外部のマーケティング部門や地域支店、ローン担当オフィスなどと連携していることや、フィッシング詐欺の最大級の標的となっているAmazon、eBay、PayPal、AOL、MySpaceといったサイトは.bankを利用できないことを挙げている。また、リダイレクトやクロスサイトスクリプティング(XSS)などを使った攻撃も防げないと指摘した。
その上で同ブログは、攻撃を食い止めたいと思うなら、犯罪者の送致に関する国際間の取り決め強化や国際的なサイバー犯罪取締法の強化に力を入れるべきだと主張。TLDの創設よりも、フィッシングサイトの摘発に時間がかかり過ぎている問題の解消に取り組んだ方がいいと述べている。
Copyright © ITmedia, Inc. All Rights Reserved.