セキュリティ関連サービスを提供するイーセキュリティ・ジャパンは1月12日、金融機関などのWebサイトを装い、パスワードやクレジットカード番号といった個人情報を盗むフィッシングを防止するためのソフト「PhishSafe(フィッシュセイフ)」を発表した。ユーザーが改ざんされたWebサイトにユーザーIDやパスワードなどを送信しようとすると、警告を発して情報漏えいを防ぐ。1月27日に出荷を開始する。
PhishSafeは、オンライン決済処理を実行するサーバーにインストールしておく。PhishSafeを導入したWebサイトにユーザーが初めてアクセスすると、PhishSafeCPIと呼ぶインターネット・エクスプローラ(IE)用プラグイン・ソフトが自動的にダウンロードされ、インストールされる。
ユーザーはこのPhishSafeCPIを通じて、PhishSafeを導入したWebサイトに対する登録処理を行う。その際に、正しいサイトかどうかを判断する際に使う秘密鍵をやり取りするほか、クレジット・カード番号やパスワードといった防御する項目を登録しておく。防御する項目はサーバー側で管理する。
登録処理の終了後に、PhishSafeを導入したWebサイトに対してパスワードやクレジットカード番号といった個人情報を送信しようとすると、PhishSafeCPIがサーバーと通信して、情報の送信先が正しいWebサイトかどうかを判定する。送信先がPhishSafeを導入したサイトなら、IEのタスク・バーに正しいサイトであることを示すとともに、ポップアップ画面にユーザーがあらかじめ決めた言葉を表示する。もしも、改ざんされたサイトやPhishSafeを導入していないサイトに個人情報を送ろうとした場合は、タスク・バーに「不明なサイト」と表示し、同時に警告のポップアップ・ウインドウが立ち上がる(図)。
PhishSafeは、アクセス先が正しいサイトかどうかを判断するために、PKI(公開鍵基盤)の認証やHTTPのヘッダー部分など、多くの項目を利用している。「IPアドレスだけで判断するのは対策として不十分」と、イーセキュリティ・ジャパンでセキュリティ・コンサルタントを務める山崎浄氏は話す。
PhishSafeの開発元はイスラエルのiBIZ。対応ブラウザは現在IEのみで、今秋をめどにFirefoxやMozillaにも対応する予定。価格はPhishSafe Server License(PhishSafeCPIの2万5000ユーザー・ライセンス込み)で780万円。ほかに年間保守費用として、ライセンス費用の20%がかかる。オンライン決済をビジネスとする企業を中心に販売していく。今年の売上目標は5億円。
