スタンフォード大学とMicrosoft Researchの研究者グループが,「Extended Validation(EV)証明書(「High Assurance証明書」とも呼ぶ)とInternet Explorer(IE)7.0を組み合わせても,フィッシング攻撃の検出能力は必ずしも向上しない」と断定した。IE 7では,Webサイトの信頼性を証明するのにEV証明書を利用している。
スタンフォード大学とMicrosoft Researchの研究者グループによる研究報告は,オンラインで公開されたPDF形式の調査報告書「An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks」(EVとピクチャ・イン・ピクチャ(PIP)フィッシング攻撃の評価)に記載されている。しかもこの報告書の要約文には,「IE 7.0のセキュリティ機能に関するヘルプ・ファイルを読んだユーザーは,一様にフィッシング攻撃の検出精度が低下した」とある。
「(調査対象とした)あらゆるユーザー群で,偽のWebブラウザ・ウィンドウを表示するPIP攻撃は,最も効率の高いフィッシング手法である同形異義語(ホモグラフ)攻撃と同程度の効果を示した。EVは,ユーザーがいずれの攻撃を検出するのにも役立たなかった。そのうえIE 7.0のヘルプ・ファイルを読むと,フィッシングの警告が現れなかった場合に,本物と偽物のWebサイトを両方とも正規のサイトとして分類することが多くなった」(報告書の記述)
PIP攻撃とは,本物のWebサイトを擬装するために,ウィンドウを覆い隠し,下にあるコンテンツを隠す手法だ。一方のホモグラフ攻撃は,URL内のテキストを操作して,本来と異なるテキストをひそかに表示する手法だ(例えば,「v」を2つ並べて「W」のように見せる)。
この報告書をまとめた研究者たちは「EV(High Assurance)などで証明書の所有者を確実に認証しようとするよりも,Webブラウザ開発者がPIP攻撃とホモグラフ攻撃に対抗しうるインターフェースを作るべき」と結論付けた。
