フィッシングは,今日のコンピュータ・セキュリティにおける最大の問題である。合法的な商用ドメインに非常によく似たドメインで偽のWebサイトを運営している詐欺師による最大の標的は,銀行とその顧客だ。フィッシング対策の業界団体であるAnti-Phishing Working Groupの調査によると,2006年5月以降,毎月2万件のフィッシング詐欺が新しく報告されている。さらにフィッシング詐欺の大半が,金融機関の顧客を標的にしていたのだ。
フィッシング詐欺の被害者は膨大な数に上るため,人々を保護する製品やサービスを提供する「フィッシング対策業界」の市場規模は,突然何百万ドルにも膨れあがった。フィッシング対策企業が提供するツールを使うと,フィッシング詐欺をかなり予防できるが,使いこなすのが難しいので,利用者は少ないままだ。
蔓延する銀行関連のフィッシング詐欺から一般市民を守る方法は,他にないのだろうか。先日,フィンランドF-SecureのMikko Hypponen氏は「Foreign Policy」誌に掲載された「21 Solutions to Save the World:Masters of Their Domain」というの短い記事のなかで,非常にもっともな提案をしている。その提案はあまりにも当たり前のことなので,まだ誰もそれを実行に移していないのが筆者には信じられないほどだ。
金融機関だけが登録できるTLDを新設せよ
そのアイデアは元々,2006年10月にF-Secureのブログの読者がMikko Hypponen氏に送ったものだった。内容は非常にシンプルである。つまり,ドメイン名やIPアドレスの管理業務を担当する非営利組織であるICANN(Internet Corporation for Assigned Names and Numbers)が「.bank」のような新しいトップ・レベル・ドメイン(TLD)を定めて,そのレベルには合法的で,認証を受けた金融機関のみが名前を登録できるようにすればいい,というのだ。
Hypponen氏は,そのTLDに名前を登録するために情報を偽ろうとするであろう詐欺師に対する追加的な予防策として,新規登録の際に銀行や他の金融機関に高額の手数料を請求するという提案をして,そのアイデアを発展させている。Hypponen氏は,1ドメインにつき5万ドル程度を提案している。
適性の認証に関しては,この他に要件を制定してもいいと筆者は思う。どんな要件があるのか詐欺師にはっきりと悟らせないために,要件を一般市民には非公開にしてもいい。
「.bank」TLDが利用可能になって,一般に十分に浸透したら,人々は自分が利用している金融機関は同TLDを使っているはずだと即座に認識できるようになり,同TLDを使っていない銀行のWebサイトを避けるようになるだろう。これが実現すれば,フィッシング詐欺は一気に下火になるはずだ。
もちろん「.bank」TLDが実現しても,フィッシングが完全になくなるわけではない。疑いを持たない銀行顧客をだましたり,利用したりするのに使われるいくつかの手法は,依然として有効だからである。例を挙げると,DNSポイズニングや中間者攻撃,クロスサイト・スクリプティング,ブラウザ・ベースのURLスプーフィング,トロイの木馬,キーロガーなどだ。従って,セキュリティ・ツールとユーザー教育は依然として重要である。それでも,新しいTLDが効果的なのは間違いない。
TLDの創設に関して言うと,筆者の理解が正しければ,このプロセスに着手する役割を担うのはICANNではない。代わりに,何らかの独立団体が創設を要求すべきなのだ。例えば,銀行(と他の金融機関)がこの取り組みに向けて団結して,ドメイン名登録依頼の申込書(と関連サービス)を処理する団体を設立し,ICANNに新しいTLDの創設を正式に要請すればいい。その後でICANNが提案を精査して,新しいTLDをDNSルート・ゾーンに委任するかどうかを決めればいいのである。
筆者は,この提案が現実になることを望んでいる。アイデアの実現の機は熟しているし,この提案は銀行が顧客との取り引きのセキュリティを向上させる簡単な方法であるように思えるからだ。
