|
「MutualTestFox」の画面。アドレスバー欄でユーザー認証を行なう
|
|
正しく認証されると、ユーザー名がアドレスバー欄に表示される
|
産業技術総合研究所(産総研)とヤフーは22日、フィッシング詐欺の防止技術「HTTP Mutualアクセス認証」を組み込んだWebブラウザ「MutualTestFox」と、Webサーバー(Apache)用の拡張ソフトウェア「mod_auth_mutual」を公開した。
産総研とヤフーでは、2006年1月からフィッシング詐欺を防止するための新しいセキュリティ技術の開発を目指して研究を開始し、2007年3月までにWebでの利用に適したパスワード相互認証プロトコル「HTTP Mutualアクセス認証」を開発。今回、サーバーモジュールとブラザ拡張を試作し、一般に公開した。
HTTP Mutualアクセス認証では、パスワード入力欄をWebブラウザのアドレスバーと同じ領域に設けることで、HTMLコンテンツの側でパスワード入力欄を偽装できないようにする。また、入力したパスワードは暗号化して送信するため、誤って偽サイトでパスワードを入力してしまってもパスワードを盗まれることはないという。
さらに、サーバーがログインパスワードを認証するだけでなく、Webブラウザ側でもサーバーを認証する相互認証を行なう。ユーザーとサーバーの間で通信を盗み見ながら中継を行なう中間者攻撃も、プロトコルの仕組みにより認証は成功しないという。こうして安全に認証が成立している場合に限り、Webブラウザのアドレスバー欄に認証が成立していることが示されるため、ユーザーは正しく認証されていることを確認した上で個人情報などの入力が行なえるとしている。
公開されたMutualTestFoxは、Webブラウザ「Firefox 3」のソースコードをベースとして、HTTP Mutualアクセス認証のプロコトルを機能追加したもので、通常のWebブラウザと同様に使用できる。mod_auth_mutualはWebサーバーApacheの追加モジュールとして動作するもので、従来の認証に置き換わるものとして使用できる。RCISでは、Firefox 3ブラウザの改変部分とmod_auth_mutualモジュールをオープンソースライセンスで公開する。
産総研とヤフーでは、プロトコルの仕様草案を2007年11月にIETFにドラフトとして提出し、標準化に向けた作業を行なっており、今回、プロトコルの参照実証例としてソフトウェアを公開。今後は、Yahoo!オークションでの実証実験を6月より開始し、実運用に向けた問題点の抽出を行ない、今後の改良に役立てる予定としている。
関連情報
■URL
ニュースリリース
http://www.aist.go.jp/aist_j/press_release/pr2008/pr20080422_2/pr20080422_2.html
■関連記事
・ ヤフーと産総研、パスワード相互認証プロトコルでフィッシング防止(2007/03/23)
・ 産総研とヤフー、フィッシング詐欺の被害を防ぐ認証技術の共同研究を開始(2006/01/30)
( 三柳英樹 )
2008/04/23 14:18
- ページの先頭へ-
|