ITmedia NEWS > 社会とIT >
セキュリティ・ホットトピックス

パスワード入力はアドレスバー領域から──フィッシング防止の新技術、産総研とヤフーが実装例公開

» 2008年04月23日 09時50分 公開
[ITmedia]

 独立行政法人・産業技術総合研究所とヤフーは4月22日、フィッシング詐欺被害の防止を目指す新認証プロトコルを組み込んだWebブラウザを公開した。認証用パスワードの入力欄をブラウザのアドレスバー領域に設け、入力欄の偽装を防ぐなどの機能を備えており、ブラウザに広く採用されるよう標準化を進めていく。6月から「Yahoo!オークション」で実証実験を始める予定だ。

photo HTTP Mutualアクセス認証でログイン中の様子。緑色になった入力欄にユーザー名が表示され、正規サイトにログイン中であることを確認できる

 Firefox 3をベースに、新認証プロトコル「HTTP Mutualアクセス認証」を組み込んだWebブラウザ「MutualTestFox」と、Apacheを同プロトコルに対応させる拡張ソフト「mod_auth_mutual」を開発し、産総研情報セキュリティ研究センター(RCIS)のWebサイトで公開した。

 産総研とヤフーは2006年1月から新技術の共同研究を始め、昨年、開発した同プロトコルの仕様書案をIETFに提出。標準化の作業と並行して、仕様書案に基づきブラウザへの実装を進めてきた。

 新方式では、同プロトコル専用パスワードの入力欄をブラウザのアドレスバー領域に設ける。Web上のフォームやポップアップウインドウから入力する従来方式と異なり、入力欄の偽装が防止できるとしている。その上、入力パスワードはPAKE(Password Authenticated Key Exchange)方式の暗号プロトコルで認証に使われ、直接サーバに送信されないため、パスワードを安心して入力できるという。

 サーバによるブラウザの認証に加え、ブラウザがサーバを認証する仕組みも備える。パスワードがサーバに登録済みかどうかをブラウザ側から確認するため、パスワードを知らない偽サイトはログイン成功を偽装できないという。偽サイトが正規サーバに通信内容を中継する手法による中間者攻撃も、仕組み上、認証に失敗するため防止できるとしている。

 認証が成功すれば、パスワード入力欄に、緑色の背景色とユーザー名が表示される。個人情報などを入力する際は、同プロトコルで認証に成功したことを確認した上で行うようにすることで、フィッシング詐欺被害が防げる期待している。

 Firefox 3の改変部分とmod_auth_mutualはオープンソースライセンスで公開。実装例のリファレンスとして国際的に紹介し、標準化作業を進めていく。一般に使われているWebブラウザへの標準搭載も目指し、開発者コミュニティーに採用を働きかける。

Copyright © ITmedia, Inc. All Rights Reserved.