ヤフーと産業技術総合研究所(産総研)は2007年3月23日、新たなフィッシング対策技術を発表した。2006年1月に発表した共同研究の成果で、2007年3月から1年以内にヤフーのオークションサービス「Yahoo!オークション」で実証実験を開始する。
フィッシング詐欺とは、正規のサイトをまねたサイトを作り、IDやパスワードを盗むこと。ヤフーによると、詐欺被害は減少傾向にあるが不正アクセスは減っていないほか、同社サイトを模したフィッシングサイトは増加傾向にあるという(図1、図2)。ユーザーがフィッシング詐欺に遭わないようにするには、通信中のパスワードを盗まれないことと、ユーザーの通信しているサイトが正規のサイトかどうかをユーザーが認識できるようにすればよい。
ヤフーと産総研が公表した技術は、標準化されている認証技術を使ったもの。ユーザーのパスワードをベースに生成した独自の認証情報を使って、ユーザーと正規サイトが相互に認証し合う。ユーザー側のパソコンは、この技術に対応するソフトを通じて、生成した認証情報をサイトに送信する。パスワードをそのまま送信しないため、パスワードは盗まれない。一方、サイト側は、登録されているユーザーのパスワードを使って認証情報を生成し、ユーザーのパソコンに送る。ユーザー側では、それを検証することで正規のサイトかどうかを判別する仕組みだ(図3)。ユーザーのパスワードがない偽サイトでは、正しい認証情報をユーザーに送信できないので、偽サイトだと分かる。
ただし、パソコンとサイトの間に設置したサーバーが単に認証情報を中継し、ユーザーが認証された後でユーザーになりすます中継攻撃もある。この攻撃に対処するため、認証情報の生成にはサイトのホスト名を使う。中継サーバーのホスト名は正規サイトとは異なるため、ユーザーが生成する認証情報は本来あるべきものと違うものになる。相互認証できないため、ユーザーは偽サイトであることが分かる。
今回の技術を、産総研は標準規格として提案していくという。
