企業からのメールやWebサイトを装ってID/パスワードを盗むフィッシング詐欺で実害が出始めたことから、金融機関やECサイト事業者などが対策を急いでいる。“確実な対策”はないため各社の取り組みはさまざまだが、ある程度の対応パターンが見えてきた。
フィッシング詐欺は、送信元アドレスを詐称して企業からのメールを装い、偽のWebサイトに誘導してIDなどの情報を入力させ、盗むもの(図[拡大表示])。
実害が出始めたことから、今年に入ってUFJカードなどが対策に乗り出した。事前登録したURL以外のWebサイトにアクセスすると警告を出す「nProtect Netizen」(販売はネットムーヴ)を導入し、図(2)の部分で食い止めようというのだ。ただし同ソフトは、メールに記載されたURLにアクセスする前に、正規のWebサイトにアクセスしてnProtectを立ち上げなければならないなど、使い勝手がよくない(2005年5月16日号18ページ参照)。
そこで、別の対策を採用する企業が現れた。一つは詐欺のきっかけとなる詐称メールを排除しようというもの(図(1))。自社から顧客に送るメールに電子署名や認証用コードを添付することで、それらが付いていないメールは詐称メールであることが分かる仕組みだ。電子署名の代表例が、日本ベリサインの「セキュアメールID」。愛知銀行が7月に採用、8月には通信販売会社ムトウの子会社でECサイトを運営するミックが導入した。不特定多数を対象にした場合に有効との考えだ。
IIJやニフティ、ヤフーなどのISP(インターネット接続事業者)は、「送信ドメイン認証」を選んでいる。送信ドメイン認証は、メール送受信時にメール・サーバー同士が送信元の真偽をチェックする。送信元と送信先の両方のメール・サーバーが対応している必要があるが、ISPの顧客は、そのISPのメール・サーバーを使っているため、問題はないと判断した。
nProtectとは別の、偽サイトを見破るソフトを選んだ企業もある。金融商品のネット取引を提供するあるECサイトは9月中に、セキュアブレインの「PhishWall」を導入する。偽サイトにアクセスすると警告を出すのに加え、怪しいWebサイトも検知する。顧客は事前にインストールしなければならないが、Webアクセスのたびにダウンロードする必要はない。
顧客一人の取引額が比較的大きいネット銀行やオンライン証券の中には、認証強化でフィッシングに対抗する企業が出てきた。新銀行東京が4月にICカードを顧客に配布。日興コーディアル証券はRSAセキュリティのワンタイム・パスワード用ハード「SecurID」を9月にも配布する。1ユーザー当たり数千円のコストがかかるが、たとえIDやパスワードが盗まれても、それを悪用して口座から現金を引き出したりできない(図(3))。
