シマンテックの元社長だった成田明彦氏らが2004年10月に設立したセキュアブレインは、フィッシング詐欺対策のソリューション「PhishWall」を2005年3月中旬から提供すると発表した。Internet Explorer向け専用ツールバーによって、PhishWallを導入したWebサイトの認証を行なうもので、サーバー側の価格は50,000ID程度の顧客数の場合は、1顧客あたり年額600円。ツールバーは導入企業のサイトから無料で配布される見込みだ。
● クライアントPC側からWebサイトの真贋を判定する
|
Internet Explorerに専用ツールバーを装備したところ
|
PhishWallは、クライアントPC側からWebサイトの真贋を判定するフィッシング対策ソリューション。専用のツールバーは信号機をモチーフとしたデザインで、フィッシングサイトにアクセスした場合は、赤信号が点灯する仕組みだ。
PhishWall導入済みのサイトに対しては、クライアントPC側で秘密鍵によって暗号化された「登録パッケージ」を生成。さらにWebサイトの公開鍵によって2重に暗号化を施し、パッケージをサーバーに暗号化通信で送信する。サーバーは暗号化されたパッケージを登録し、ユーザーに登録証明書を送付する。
認証時にはクライアントPCからサーバーに証明書が送付され、サーバーはユーザーの登録パッケージを返送してサイトの正当性を確認。問題がなければツールバーには青信号が灯る。もし、PhishWall導入済みのWebサイトを騙ったフィッシングサイトであれば、ユーザーの登録パッケージを返送できないため、ツールバーに赤信号が点灯することになる。
なお、PhishWallを導入していないサイトや、PhishWall未導入のサイトを騙ったフィッシングサイトに関しては、信号はいずれも点灯しない。ただし、専用ツールバーには、ドメイン情報を表示する機能やアクセスしているサーバーの国名を表示する機能を搭載しており、「そちらを確認することで、フィッシングサイトかどうかの判断はできるのではないか」(セキュアブレインの田島久行取締役)としている。
PhishWallの対応プラットフォームは、サーバー側はWindows Server 2003/2000 Server。クライアント側の専用ツールバーはWindows XP/2000/Me/98SEに対応している。田島氏によれば「2005年3月中旬に提供予定の製品版では、煩雑になりがちな登録作業をブラウザの『お気に入り』から自動的に登録できるようにするなど、簡単に利用できるようにしたい」とコメント。クレジットカード会社をはじめ、オンラインバンキングを手がける銀行やショッピングサイト、官公庁、自治体などから提供していくとした。
|
|
登録前のWebサイトにアクセスすると黄信号が灯る
|
登録完了し、認証に成功すると青信号
|
|
PhishWall導入済みのWebサイトを騙ったフィッシングサイトであれば、ユーザーの登録パッケージを返送できないため、ツールバーに赤信号が点灯する
|
● 金銭を目的としたプロの犯罪者がフィッシング詐欺を行なっている
|
フィッシング詐欺の手口
|
フィッシング(Phishing)詐欺について、「ハッカーの命名規則にしたがって『F』を『Ph』に置き換えているという説や、『Sophisticated(洗練された)』を由来とする説もある」と説明したのは、セキュアブレイン星澤裕二プリンシパルセキュリティアナリスト。「金銭的な被害もさることながら、信用の失墜という側面も無視できない。インターネットを利用した取引を控えるようになってしまうのではないか」とフィッシング詐欺によって、eコマースに悪影響が及ぶことを危惧した。
星澤氏はフィッシング詐欺の技術について、「メールアドレスの収集や大量のメール配信などで迷惑メールの技術を流用している」と分析。さらにメールの差出人やブラウザのアドレスバーを詐称するといったスプーフィングの手法も悪用し、本物そっくりのサイトを作り、個人情報を入力させるなどソーシャルエンジニアリング的なテクニックも利用されているという。また最近ではウイルスによって感染したPC(ボット)のネットワークをメール配信に悪用する手口も見られるとした。
自衛手段としては、「フィッシングメール中のリンクをクリックしない」「SSL通信の場合はブラウザの鍵マークをクリックして確認する」などを挙げた一方で、「メールのユーザーは文中のリンクをクリックすることが習慣化している」「SSLの証明書は英語で書かれ、サーバー管理者とサイトの企業が異なる場合もあり、簡単には判別できないのではないか」と分析。「現状ではユーザーの自衛手段に全てを求めるのは無理がある」との認識を示した。
また、迷惑メール対策ソフトや「SenderID」「DomainKeys」といった送信者認証技術などのフィッシング詐欺のメール分野における対策や、URLフィルタリングやサーバー認証といったWebサイト分野の対策に言及。いずれも一定の効果は認めたものの、メール対策のみでフィッシング詐欺対策とはならない点や、フィッシングサイトのライフサイクルが5日~6日程度でURLフィルタリングのブラックリスト更新が追いつかない点、サーバー証明書も偽装される可能性がある点などを指摘し、「わかりやすく確実な新しいフィッシング詐欺対策ソリューションが求められている」とした。
星澤氏はこのほか、フィッシング詐欺を行なう犯罪者について、「フィッシャーは技術力を誇示したいウイルス開発者とは異なり、金銭を目的としたプロの犯罪者である可能性が高い」とコメント。「今後はますますフィッシングの詐欺の手口が巧妙になっていくだろう」と予測した。
|
|
セキュアブレインの成田明彦代表取締役社長
|
田島久行取締役
|
|
星澤裕二プリンシパルセキュリティアナリスト
|
関連情報
■URL
ニュースリリース
http://www.securebrain.co.jp/news/
セキュアブレイン
http://www.securebrain.co.jp/
■関連記事
・ フィッシング詐欺に騙されないための心構えも重要~シマンテック調査(2004/11/19)
( 鷹木 創 )
2004/11/24 15:34
- ページの先頭へ-
|