ヤフー、産総研と共同でフィッシング詐欺防止技術を開発 | RBB TODAY

ヤフー、産総研と共同でフィッシング詐欺防止技術を開発

 ヤフーは23日、産業技術総合研究所・情報セキュリティ研究センターとの共同研究の成果として、「ウェブでの利用に適したパスワード相互認証プロトコル」を開発したと発表した。

ブロードバンド その他
 ヤフーは23日、産業技術総合研究所・情報セキュリティ研究センターとの共同研究の成果として、「ウェブでの利用に適したパスワード相互認証プロトコル」を開発したと発表した。同社ではこの技術について、「フィッシング詐欺と呼ばれる手口に対して、パスワードや個人情報を詐取される被害を防止するための抜本的な解決策」だとしている。

 本技術は、クライアント/サーバで使われている暗号・認証技術「PAKE」(Password Authenticated Key Exchange))新たな手法で改良を加え、Webの標準プロトコルであるHTTPおよびHTTPSに適用したもの。これにより、ユーザがパスワードでサイトの真偽性を確認できる仕組みを提供することでフィッシングを防止できるという。

 また、偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもないほか、従来の対策手法では解決されていなかった、偽サイトが通信を本物サイトへ中継する「中間者攻撃」と呼ばれる手口にも対応し被害を防止できるとしている。

 両者ではすでにプロトコル仕様の設計は終えており、本技術を実装したサーバーモジュールとブラウザ拡張機能も試作済みだという。そして今後は、2007年度中に「Yahoo!オークション」上での実証実験を行い、実際の運用に耐え得る仕組みであることを検証するとしている。さらに、本プロトコル仕様の標準化に向けた活動や、オープンソースコミュニティにソースコードを提供して、Webにおけるパスワード相互認証の技術標準としての確立を目指していくという。

 また、共同研究の一環として、フィッシング詐欺に遭わないための安全なインターネット利用の方法などについて解説した啓発コンテンツ「Yahoo!オークション 安全対策研究所」を制作し、Yahoo!オークションのサイトで順次公開していくとしている。
《村上幸治》

特集

page top