産総研とヤフーがフィッシング詐欺を防止する認証技術を開発
08 4/28 ・5/5合併号
産業技術総合研究所(産総研)は、ヤフーと共同でインターネットにおけるフィッシング詐欺を防止する新たな認証プロトコルを開発した。両者が研究開発してきた「ウェブでの利用に適したパスワード相互認証プロトコル」の成果として公表したもので、併せて新認証プロトコルを組み込んだブラウザーソフトとプロトコルを利用できる拡張ソフトを公開する。フィッシング詐欺は巧妙さを増しており、特に金融機関を標的とした攻撃が米国では9割にのぼるという調査結果が出ている。これらの搾取被害を防止する新たな技術の開発が求められていた。
フィッシング詐欺を防止する新たな認証プロトコルは、「HTTPMutualアクセス認証」と呼ぶもので、ブラウザーのアドレスバー領域にパスワード入力欄を設けた。パスワードを入力すると、「PAKE(パスワード・オーセンティケーテッド・キー・エクスチェンジ)」方式で相互に認証する。
このPAKEは、クライアントとサーバー間で電子証明書を用いずにユーザー固有のパスワードで相互認証できる国際標準規格。これまではWebへの適用がなかったため普及していなかった。
今回この技術を利用することで、サーバーがログインユーザーを認証するだけでなく、ブラウザーがサーバーを認証するため、偽サイトに誘導しようとしても認証が成功しなければパスワードを入手できなのでログインが成功したと利用者に偽装できなくなる。
また、偽サイトが通信内容を正しいサーバーに中継する「中間者攻撃」が行われてもプロトコルの仕組みから認証が成功しないようになっているという。暗号化処理についてはPAKEが持つ暗号処理ではなく、SSLを用いた暗号化を施すことにした。
今後は、新認証プロトコルを組み込んだブラウザーソフト「Mutualテストフォックス」と、アパッチWebサーバーで利用可能にする拡張ソフトを開発し、オープンソースとして公開する予定となっている。
共同開発者のヤフーは同技術を、「Yahoo!オークション」で実証実験を行い、実運用に耐えるかどうかを検証する。さらにフィッシング詐欺に遭わないための啓発コンテンツを開発し、順次、オークションサイトで公開していくことを表明している。
ソフトウェア公開サイト(産業技術総合研究所情報セキュリティセンター)