産総研とヤフー、フィシング防止アクセス認証技術の評価用ソフトを公開
独立行政法人 産業技術総合研究所(産総研)とヤフーは2008年4月22日、フィッシング詐欺を防ぐ新認証プトロコル「HTTP Mutualアクセス認証」の技術評価用ソフトウェアをオープンソースソフトウェアとして公開した。Webブラウザ「MutualTestFox」と、WebサーバApacheの追加モジュール「mod_auth_mutual」で構成される。
両者で共同開発したフィッシング詐欺対策技術。2007年3月に研究成果を発表した後、同年11月にプロトコル仕様書案をInternet Engineering Task force(IETF)に提案。標準化を目指している。公開したソフトは、IETFに提出したドラフト仕様の第2版に基づくリファレンス実装。
「MutualTestFox」は、FireFox 3をカスタマイズしたクライアントで、専用のパスワード入力欄を持ち、サーバに直接パスワードを送信しないPAKE(Password Authenticated Key Exchange)方式の暗号プロトコルで認証する。サーバがログインユーザーを認証するだけでなく、ブラウザもサーバーを認証する相互認証とすることで、偽サイトに対抗する。
今後はIETFでの標準化作業と並行して、他のWebブラウザへの標準実装を働きかけていく。また、国内技術者向けの評価デモンストレーションとして、「Yahoo! オークション」での実証実験を2008年6月に開始する予定。この実験で実運用に向けた問題点抽出を行い、今後の改良に役立てていくという。【鴨沢 浅葱/Infostand】
「HTTP Mutualアクセス認証」の情報公開・ダウンロードページ
https://www.rcis.aist.go.jp/special/MutualAuth/