米マイクロソフトは,「Internet Explorer(IE)7」に新たなフィッシング対策サービスを導入した。このサービスにより,IE7で閲覧したWebサイトが「正当なWebサイト」と承認されている場合は,アドレス・バーが緑色に変わり,Webサイト運営者の識別情報が表示される。ここまでは問題ない。ところがこのサービスは株式会社(corporation)専用で,法人格を持たない個人事業主(proprietorship)や共同事業体(partnership),個人は利用できないのだ。

 Webサイトを閲覧したときにアドレス・バーが緑にならないからといって,それが不正サイトだとは限らない。このフィッシング対策・サービスでは,「何も情報がない」サイトを示す場合にはアドレス・バーが白,「怪しいサイト」を示す場合には黄色,そして「既知の詐欺サイト」を示す場合は赤になる。これに対して,規模の小さな事業者は,「緑色以外のWebサイトからの購入が不安視されるようになる」という点を懸念している。

 この懸念が現実のものになる可能性はある。ただし,ユーザーがこの色を信頼できないことに気付き,無視し始める可能性の方が高い。

 マイクロソフトのフィッシング対策サービスは,いわゆるホワイトリスト方式でフィッシングを防ぐものだが,ホワイトリスト方式のシステムは,誤判断のリスクを伴う。フィッシング犯が“緑マーク”を取得することで起こるフォールス・ポジティブ(不正サイトを正当サイトと判断すること)と,正当な業者がマークを取らないことで起こるフォールス・ネガティイブ(正当サイトを不正サイトと判断すること)だ。こうしたサービスでは,誤判断をうまくさばく必要がある。

http://online.wsj.com/public/article/...
「Phinding Phish:An Evaluation of Anti-Phishing Toolbars」(L. Cranor,S. Egleman,J. Hong,Y. Zhang):
http://www.cylab.cmu.edu/files/cmucylab06018.pdf>(PDF形式)

Copyright (c) 2007 by Bruce Schneier.


◆オリジナル記事「Microsoft Anti-Phishing and Small Businesses」
「CRYPTO-GRAM January 15, 2007」
「CRYPTO-GRAM January 15, 2007」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。