米Microsoftは米国時間11月16日に,フィッシングに対するWebブラウザの耐性を高める対策について,米Mozilla Foundation,ノルウェーOpera Software,カナダStaikos Computing ServicesのWebブラウザ開発担当者と会合を開いた。Microsoft社のRob Franco氏が11月21日に,開発者向けネットワークMicrosoft Software Developer Network(MSDN)のブログで明らかにしたもの。会合のなかでFranco氏らMicrosoft社の担当者は,SSLセッション確立中に表示される鍵アイコンの表示位置をWebブラウザのアドレス・バー内に変え,より目立つようにすることなどを提案した。
Microsoft社は,「(Webブラウザなどで)アドレス・バーが表示されないと,詐欺師はこれを悪用してアドレスを偽る」と指摘する。そこで2006年後半リリース予定の「Internet Explorer 7(IE7)」では,インターネット接続するすべてのウィンドウにアドレス・バーを設ける。
IE7にはフィッシング・フィルタ機能も組み込む。同フィルタはアドレス・バーの色を,既知のフィッシング・サイトにアクセスすると赤に,フィッシングの疑いのあるサイトにアクセスすると黄色にして注意を促す。色を変えるだけでなく,「stop(停止)」「caution(注意)」という文字も表示する。
信頼できるWebサイトについては,現在アドレス・バーの色は白くしているが,Microsoft社は「将来Webブラウザ業界とデジタル証明書の認証局業界でWebサイト識別ガイドラインを策定できれば,身元の判明しているHTTPSサイトをより分かりやすくアドレス・バーに示せる」とした。具体的には,ガイドラインに適合しているWebサイトにアクセスした場合はアドレス・バーの色を緑に変えるとともに,そのサイトを運営する企業と認証局の名称を交互に表示するという。
ただしFranco氏は,ほかの3社にもそれぞれ独自の対策案があることを認めており,SSLサイトの表示方法については詳細を詰める必要があるとした。今後Microsoft社はほかのWebブラウザ開発ベンダーも含め,共通ガイドラインなどの検討を進めるとしている。またこの件に関して,米法曹協会(ABA:American Bar Association)の情報セキュリティ委員会(Information Security Committee)がフォーラムを設ける予定という。
◎関連記事
■なぜSSL利用をケチるのか---入り口からのSSL利用が有効なフィッシング対策に
■IEやOperaにステータス・バーを偽装できる問題
■「2005年8月のフィッシング・サイト数は過去最悪,ただし件数は微減」,業界団体調査
■「400ドルが当たりました!」,米Googleを騙るフィッシング・サイトが出現
■「2005年10月のWebブラウザ利用状況,『Firefox』が勢いを回復」,米調査
■「フィッシング詐欺は“振り込め詐欺”よりも深刻」---JPCERT/CCの歌代氏
■「キーロガーや偽URLなど,フィッシングの手口が悪質化」,APWG
■「paypаl.com」と「paypal.com」,違いが分かりますか?---IDNによるURL偽装問題
