ニュース
» 2007年11月19日 19時14分 公開

金融業界で広がる強化版SSL、日本ではモバイル版も

日本ベリサインは、強化版SSLの「EV SSL」証明書の最新動向を説明。国内では金融機関での採用が急速に広がる。

[國谷武史,ITmedia]

 日本ベリサインは11月19日、機能を強化したSSL「Extended Validation(EV) SSL」サーバ証明書に関する説明会を開催した。国内では金融機関での採用が進み、携帯電話に対応した製品も登場している。

 EV SSLは、主要ブラウザベンダーや認証機関が参加する米CA/Browser Forumが2006年に策定し、同年12月から日本以外の地域でリリースされた。国内では1月に設立された日本電子認証協議会がEV SSLのローカライズ化(法人名称の表記ルールなど)を図り、3月に国内版をリリース。8月には携帯電話向けEV SSLも公開された

ティム・カラン氏

 米VeriSignプロダクトマーケティングディレクターのティム・カラン氏は、EV SSLリリース後の動向について説明した。同氏によれば、現在までにVeriSignが発行するEV SSLサーバ証明書は世界で1600サーバ以上になった。製品リリースから3〜4カ月を経た後に導入が急速に進んだという。

 EV SSLでは、EV SSLサーバ証明書を導入したWebサイトにアクセスすると、Webブラウザのアドレスバーの背景色が緑色で表示(グリーンバー)され、サイト運営者と認証機関名が表示される。現在対応しているのは、Internet Explorer 7(IE 7)のみだが、「Firefoxではプラグインもしくはバージョン3でサポートされ、Operaも次期バージョンでサポートされる見込みだ。IE 7はすでにインターネットユーザーの34%が利用しており、FirefoxとOperaのサポートで、ユーザーの半数以上がEV SSLを利用できるようになる」(カラン氏)

IE 7でEV SSL導入サイトを閲覧すると、信頼できるサイトならグリーンバーが表示される(写真は日本ベリサインのWebサイト)

 なお、EV SSLのグリーンバー機能は、Windows Vista環境では標準的にサポートされるものの、Windows XPでIE 6をIE 7へ更新した場合には、VeriSignが提供するツール「EV Upgrader」を利用するなどして対応させる必要がある。同ツールは「VeriSign Secured Seal」を提示するWebサイト(世界で約9万サイト)にアクセスすると自動で組み込まれる仕組みになっている。

 導入企業は、eBayやPeyPalなどのオンラインショッピングサイト運営企業や、金融業界、旅行サービス、証券、運輸など多岐にわたる。カラン氏によれば、EV SSLのグリーンバーはサイト訪問者に信頼感を与えるといい、例えば日用雑貨品販売の米Overstock.comではグリーンバーの表示によってトップページから離脱するサイト訪問者が8.6%低下した。また、金融サービスの米DebtHelp.comではCTR(広告クリック率)が11%増加した。

 一方、国内のEV SSL導入では7月にソニー銀行が導入したのを皮切りに三井住友銀行や三菱UFJ証券、イー・バンクなど金融、証券業界での導入が進む。さらに、ベリサインでは日本独自製品として携帯電話向け「グローバル・サーバID EV for Mobile」を発売した。VeriSignのPCサイト向けEV SSL製品では一部の携帯電話端末がSSL通信に対応できないため、携帯電話向け製品では対応機種の拡大を図った。

 なお、携帯電話のWebブラウザ(フルブラウザを含む)はグリーンバーに対応していないため、通常のSSL処理の表示(鍵マークなど)がなされる。カラン氏は、「将来的にモバイルブラウザベンダーや端末メーカー、通信事業者と協力して、携帯電話でもPCと同様にEV SSLを利用できる環境整備を実現していきたい」と話した。

複雑化するオンライン犯罪

 EV SSL証明書は、従来のSSL暗号化に加え、なりすましやフィッシング詐欺からユーザーを防御する機能を強化している」等々のメリットを加える。今年5月に米Anti-Phishing Working Groupが行った調査によれば、フィッシング詐欺サイト数は過去18カ月間に約4000サイトから約5万5000サイトに拡大した。「オンライン決済やバンキングなどに加えて、最近ではソーシャルネットワーキングサービスや公共料金の支払いサイトに偽装するケースも登場した」とカラン氏。

 さらには、不特定多数の人間を狙う従来の手口に加え、資産家や企業の重役など特定の人間を狙うスピア型フィッシングの勢いも増しているという。オンラインサービス利用者のアカウント情報が膨大なデータベースに蓄積されつつあり、オンライン犯罪の組織が水面下でこうしたデータベースの売買を手掛けるケースが増えつつあると、カラン氏は指摘する。

 また、フィッシング詐欺サイトへ誘導する手口の巧妙化も進み、ユーザーへセキュリティの警告やソフトウェア更新を呼びかけて詐欺サイトへ誘導するケースや、くじの当選通知、商品の注文確認、グリーティングカードサービスを利用した手口も登場している。特にグリーティングカードは、「閲覧者が最も油断しやすいため、目を付ける犯罪者が増えている」(カラン氏)という。

 このほかにも、キーロガーやボットネットによる大規模犯罪も発生している。カラン氏は、「もはやセキュリティベンダーの取り組みが追いつかなくなりつつあり、EV SSLのような信頼性を正しく証明する仕組みが2008年以降に広がるだろう」と話した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -