RSAセキュリティは6月29日,金融機関などの利用客から金銭を詐取する目的で開設されたフィッシング・サイトを閉鎖に追い込むサービス「RSA FraudAction(RSAフロードアクション」を,7月24日から日本で開始すると発表した。
同サービスでは,まず顧客である金融機関やEC(電子商取引)事業者が,フィッシング目的と見られるWebサイトを発見した場合に,RSAセキュリティのオンライン不正対策指令センター(AFCC)に通報。これを受けてAFCCは,フィッシング・サイトをホスティングしている国とインターネット接続事業者(プロバイダ)を見つけ出し,プロバイダに対してサイト閉鎖を要請する。
RSAセキュリティは,フィッシング・サイト閉鎖作業を進めると同時に,大量の偽の顧客データをフィッシング・サイトにおとりとして送信する「対抗措置」も実施する。フィッシング・サイトが収集した顧客データの大部分が利用不可能な偽データであれば,既に詐取された顧客データが悪用されるのを遅らせることができ,被害を未然に防ぐ効果もある。
このほか,フィッシング・サイトのソース・コードなどのデータを収集し分析する「フォレンジック作業」のサービスも提供する。収集されたデータは,警察機関の犯罪捜査に役立てられることもあるという。
RSA FraudActionは元々,米サヨタが2003年に提供を開始したサービスだが,2005年12月にRSAセキュリティがサヨタを買収したことに伴い,現在はRSAのサービスとして継続中。これまでに世界65カ国以上で提供されており,1万以上のフィッシング・サイトを閉鎖させた実績がある。RSAセキュリティによると,同サービスを利用した場合には,これまでのケースで約60%が5時間以内にフィッシング・サイトを閉鎖できたという。一方,これをユーザー企業が自力で行おうとすると平均で120時間かかるとしている。
RSAセキュリティの9社の販売代理店が同サービスを販売する。価格はオンライン・サービスの登録者が30万人以下の場合に年間480万円(税別)からで,初年度のみ初期セットアップ費用200万円が必要となる。RSAセキュリティの山野修社長は「企業が自力で24時間365日体制でフィッシング対策をしようとすると,数千万円から億円単位の投資が必要になる」と,コスト面でのメリットを強調する(写真)。
海外では,顧客からの通報なしにRSAセキュリティが主体となってフィッシング・サイトを検出するサービスも既に提供しているが,日本でのサービス開始時期は「半年から1年後」(山野社長)となる見通し。
