ヤフーと産総研、フィッシング詐欺を防止するプロトコル、パスワード認証で

 ヤフー(井上雅博社長)は3月23日、独立行政法人産業技術総合研究所(産総研、吉川弘之理事長)の情報セキュリティ研究センターとの共同研究の成果として、フィッシング詐欺防止のプロトコルを開発したと発表した。

 「PAKE(Password Authenticated Key Exchange)方式」と呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPやHTTPSに適用したもの。ユーザーがパスワードでサイトの真偽性を確認できる仕組みを採用し、フィッシング詐欺を防止する。

 同プロトコルを用いることで、偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることがなく、ログインが成功したように偽装されることもない。また、従来の対策手法では解決されていなかった、偽サイトが本物サイトへ通信を中継する「中間者攻撃」と呼ばれる手口にも対応する。

 ヤフーはこれまでにプロトコル仕様の設計を終え、同技術を実装したサーバーモジュールとブラウザ拡張機能の試作も行った。07年度中に「Yahoo!オークション」上での実証実験を行い、実運用に耐え得る仕組みであることを検証する予定。また今後、同プロトコル仕様のRFC(Request for Comments)化に向けた手続きを行い、将来的にはオープンソースコミュニティにソースコードを提供し、ウェブにおけるパスワード相互認証の技術標準としての確立を目指す。

 共同研究ではこのほか、フィッシング詐欺に遭わないための安全なウェブの利用方法などを解説した啓発コンテンツ「Yahoo!オークション 安全対策研究所」を制作し、同オークションサイトで順次公開していく。

ヤフー=http://www.yahoo.co.jp/
産業技術総合研究所=http://www.aist.go.jp/
「Yahoo!オークション 安全対策研究所」=http://special.auctions.yahoo.co.jp/html/anzen/

提供:BCN