RSAセキュリティは,フィッシング・サイトを立てられがちな金融機関などのインターネット・サービス事業者向けに,フィッシング・サイトを停止してくれるようISP(プロバイダ)に働きかけるサービス「RSA FraudAction」を,2006年7月24日に開始する。価格はオンライン事業のユーザー数に応じて異なり,年額480万円(税別)から。別途必要となる初期導入費用は200万円(税別)。
一般に,自社サイトを真似たフィッシング・サイトが立てられていることを発見したサービス事業者は,事業者自身でフィッシング・サイトを停止させようとする。具体的には,フィッシング・サイトが立てられているサーバー機の管理者に連絡して事情を説明し,サイトの停止や収集済データの回収などを行う。多くの場合,直接の交渉相手はISPとなる。
今回RSAセキュリティがサービスを開始するRSA FraudActionは,本来であればサービス事業者がやっているISPとの交渉を,サービス事業者に代わって実施するというもの。RSAセキュリティが24時間365日,サービス事業者からの報告を受け付ける。ISPの特定と交渉の実働部隊はイスラエルに配備しており,フィッシング対策のノウハウを貯めているという。
RSA FraudActionの価値は,フィッシング・サイトを停止させるまでの時間を短縮できること。短時間でフィッシング・サイトのサーバー管理者やフィッシング・サイトをホスティングしているISPなどを特定して連絡を取り,サイトの停止を働きかける。同サービスでは,サービス事業者がフィッシング・サイトのURLを報告してからサイトの停止までにかかる時間は平均5時間という。「最短で5分,60%は5時間以内,80%は10時間以内で停止してきた」(RSAセキュリティ代表取締役社長の山野修氏)。
これに対して,サービス事業者が直接フィッシング・サイトの管理者と交渉した場合は,平均で120時間かかっているという。サービス企業みずからがRSA FraudActionと同等の働きをしようとすると,「年間で数1000万から億単位の費用がかかるはずだ」(山野修氏)としている。
とはいえ,RSA FraudActionは顧客との間でSLA契約を結ばないベスト・エフォートのサービスである。フィッシング・サイトを必ず停止できるとは限らない。停止できたとしても,5時間を大きく上回ることもあり得る。
RSAセキュリティが公表する過去の実績値では,金融機関を中心に全世界で100社以上と契約し,2年半で65カ国1万サイト以上を停止したという。国内での契約目標は,1年間で20社以上を掲げる。
RSA FraudActionが提供するフィッシング対策は,主に交渉相手となるISPの特定とサイトの停止であるが,停止時にフィッシング・サイトが収集したデータの提供や,フィッシング・サイトに対するダミー・データの送付といった攻撃的手法も請け負う。ダミー・データの送付は効率的という。「一般に,フィッシング事業者は,1000件のデータが集まると十分と判断してサイトを閉めてすぐに逃げる。そこで,データをわざと送り込んでサイトを自発的に閉じさせることで被害を防ぐ。しかも1000件のうちほとんどのデータがダミーであれば,収集したデータには価値がないため,フィッシング事業者の信用を失わせることができる」(山野修氏)。
