RSAセキュリティ マーケティング統括本部長の宮園充氏
RSAセキュリティ マーケティング統括本部長の宮園充氏
[画像のクリックで拡大表示]

 利用者に成りすましてインターネット・バンキングからお金を引き出すフィッシング詐欺が急増している。利用者を誘導する偽りのフィッシング詐欺サイトは,2006年10月に新設されたものだけで3万7444件(Anti-Phishing Working Group調べ)に達する。

 こうした状況を受け,金融機関の監督省庁である金融庁はフィッシング対策に触れた監督指針案を2006年12月15日に公開,セキュリティ・ベンダーのRSAセキュリティもフィッシング対策ソフトを同年11月30日に出荷した。

 金融庁が12月15日に公開した監督指針案は,「主要行等向けの総合的な監督指針」および「中小・地域金融機関向けの総合的な監督指針」の一部改正案。インターネット・バンキングのセキュリティに関する項目として,用途に応じて適切な強度を持つユーザー認証を設けなければならない旨や,フィッシング詐欺対策を講じなければならない旨などを明記している。

 具体的に改正案の一部を引用すると,「フィッシング詐欺対策については,利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等,業務に応じた適切な不正防止策を講じているか」(原文ママ)といった具合である。まだ案の段階だが,金融機関にとってフィッシング対策は避けて通れない最重要案件となっている。

 金融庁の動きに並行する形で,セキュリティ・ベンダーもフィッシング対策サービスの提供やソフトの出荷を開始している。例えば,PKI(公開鍵暗号基盤)やワンタイム・パスワード関連製品を中核とするRSAセキュリティは,Webサイトへのログイン時に,簡単にWebサイトと利用者が相互に認証できるようにするツール「Adaptive Authentication for Web」を,2006年11月30日に国内出荷した。既存の製品/サービスと組み合わせることで,フィッシング対策の階層を増やす製品である。

使い勝手を落とさずに古典的フィッシングに対抗

 Adaptive Authentication for Webは,IDとパスワードを奪取する古典的なフィッシング詐欺への対策として,主にWebサイトと利用者の相互認証を実現するもの。認証機能を追加しても利用者の使い勝手が悪くならないという特徴を持つ。主な構成要素は2つある。

(1)「リスク・ベース認証」は,利用者の行動が普段と異なることを検知して成りすましを発見するツールである。あらかじめWebサイトから利用者のWebブラウザに送っておいたHTTPクッキーなどの情報,IPアドレスなどのネットワーク情報,ブラック・リストとの照合結果,行動パターン,などに重み付けを施して点数化する。しきい値を超えた場合に成りすましの可能性を疑う。成りすましの可能性が高いアクセスには,本人確認のための追加認証を実施する。つまり,電話で呼び出したり,電子メールを送ったり,利用者だけが答えを知っている秘密の質問を投げかける。

 不正な成りすましかどうかを判別する材料の1つであるブラック・リストには,「eFraudNetwork」と呼ぶ同社の情報共有データベースを利用する。同社の顧客に対する不正アクセス者の情報を,顧客企業全体で共有するものだ。顧客のうち,不正アクセス者のデータをeFraudNetworkに提供している企業は約50社。常時,過去3カ月に渡る不正アクセス者リストを更新/維持している。不正アクセス者かどうかの判定は,例えば,国家をまたがった複数の別個の場所から短時間に,同一の利用者に成りすましたアクセスがあった場合に不正と見なす。

 もう一つの構成要素である(2)ユーザーによるサイト認証は,リスク・ベース認証によって特定した個々の利用者のWebブラウザに対して,利用者があらかじめ指定しておいた画像を表示するというもの。利用者は,自分が指定した画像がWebサイトに表示されていることを確認することで,本物のWebサイトであると見なす。あらかじめ3万5000個の画像を用意しているほか,ユーザーが自分で作成した画像を登録する運用も可能である。

 このように,リスク・ベース認証とユーザーによるサイト認証は,利用者に特別な行動を求める必要がない、という特徴がある。これに対して、多くの金融機関が導入している「乱数表による一時パスワード」や、Adaptive Authentication for Webの構成要素の1つにもなっている「ワンタイム・パスワード」は,強固な本人認証が可能である反面,利用者の手をわずらわしてしまうという欠点がある。