 |
 |
記事検索 |
最新ニュース |
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
ヤフーと産総研、パスワード相互認証プロトコルでフィッシング防止 |
||||||||||||||||||
|
||||||||||||||||||
|
Yahoo!オークションで実証実験へ
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
この技術は、「PAKE(Password Authenticated Key Exchange)」と呼ばれる暗号・認証技術を改良し、Webの標準プロトコルであるHTTPおよびHTTPSに適用したパスワード相互認証プロトコル。PAKEは、ISO/IEC、IEEE、IETFなどの国際標準にも採用されている。ユーザーは、通常のIDとパスワードを入力するだけでWebサイトの真偽を確認できるという。 PAKEでは、ユーザーが入力したパスワードは暗号学的に加工された情報としてサーバーに送信される。そのため、もし偽サイトでパスワードを入力してしまっても、パスワードそのものを詐取されることがない。一方サーバー側は、そのユーザーのパスワードとして事前に登録されている情報を加工してユーザーに返信する。両者が、互いにパスワードを認証する仕組みとなっている。 従来の認証方式では、サーバー側のみでユーザーが入力したパスワードの正当性を検証していた。しかし、今回開発したPAKE方式では、ユーザー側でも、そのサーバーが自分のパスワードを過去に登録したサーバーであるかを検証する点が特徴だ。 ユーザーが偽サイトにパスワードを送信した場合、偽サイトはユーザーのパスワードを知らないため、つじつまの合う情報をユーザーに返信できず、認証が成功しない結果となる。そのためユーザーは、正しいパスワードを与えても認証が成功しない場合は、偽サイトであると判別できる。 産総研情報セキュリティ研究センターの渡辺創氏は、「『ユーザー側とサーバー側の相互認証が成功してから個人情報を入力する』というリテラシーが広まれば、ユーザーが偽サイトであることに気づかずに、個人情報を入力してしまう被害を防げる」と話している。 ただし、フィッシングの手口である、偽サイトが通信を本物サイトへ中継する「中間者攻撃」が行なわれた場合には、PAKEによる相互認証が成功してしまうという問題がある。相互認証が成功してしまうと、ユーザーが気づかずに入力した個人情報を詐取されてしまうほか、ユーザーになりすまされてしまう恐れがある。 この脅威への対策としては、PAKEプロトコルでパスワードを暗号学的に加工する際に、通信相手となるサーバーのドメイン名を反映するように改良した新たなプロトコルを開発した。これにより、偽サイトが本物サイトに中継する中間者攻撃を行なっても認証は成功せず、ユーザーは偽サイトだと判別できる。
Webで利用可能な従来の認証技術としては、パスワードを暗号化して送受信するSSLのクライアント認証方式が挙げられるが、「この方式では、フィッシングによるパスワード詐取の対策は可能だが、事前にユーザーに電子証明書を配布する必要があり導入コストが高いなどの問題があった」(渡辺氏)。そのため、不特定多数向けのサービスでの導入実績はほとんどないという。 また、近年ではワンタイムパスワードをユーザーに利用させる手法が普及しつつあるが、中間者攻撃によるフィッシングに弱いという問題点も指摘されていた。実際、2006年7月には、ワンタイムパスワードを採用していた米国の大手銀行が、中間者攻撃によるフィッシングの被害を受けている。 ヤフーと産総研では、この技術を2007年度中に「Yahoo!オークション」上で実証実験する予定。また、今回開発したプロトコル仕様のRFC化に向けた手続きとして、インターネットドラフトを起草する。将来は、オープンソースコミュニティにソースコードを提供して、Webにおけるパスワード相互認証の標準技術としての確立を目指すという。 関連情報 ■URL ニュースリリース http://pr.yahoo.co.jp/release/2007/0323a.html ■関連記事 ・ 産総研とヤフー、フィッシング詐欺の被害を防ぐ認証技術の共同研究を開始(2006/01/30)
( 増田 覚 )
- ページの先頭へ-
|
