メールを使ってユーザーを“偽サイト”に誘導し個人情報を騙し取るフィッシングは,まず米国で広がり,日本にも波及を始めている。米マサチューセッツ州に本社を置くコアストリートはフィッシング対策補助ツール「SpoofStick」を5月に無償で公開した会社。同社のフィル・リビン社長は8月20日,本誌の取材でフィッシングにどう対抗すべきかを語った。
SpoofStickは偽サイトのURLにユーザーが騙されにくくするソフトウエアである。ブラウザで開いているWebページのURLを“ユーザーが分かりやすい状態”にして,アドレスバーとは別途ツールバー上に表示する。リビン社長は,「SpoofStickはシンプルなアイデアで作られている」と説明。具体的には,ブラウザからURLのうち分かりにくい記号や冗長な部分を除いたものを取り出して,ツールバーに表示している。「ユーザーが“今どこにいるか”を注意深く見ていれば,フィッシングの90%は防げると思う」(同)。
この仕組みからも分かるように,SpoofStickはフィッシングをシャットアウトするものではない。例えば,メイン・ウインドウとポップアップ・ウインドウがあり,そのうちポップアップ・ウインドウだけがユーザーに個人情報を入力・送信させて騙し取る“偽サイト”だった場合,SpoofStickはポップアップ・ウィンドウのURL情報はユーザーに通知できない(ブラウザがInternet Explorerの場合。Mozilla Firefoxだと通知可能)。リビン社長は「大事なのはユーザー自身の常識。例えばポップアップ・ウインドウに普通まともなものはない」と解説する。
もっとも同社の本業はPKI(公開鍵暗号基盤)。リビン社長はフィッシングの問題を「メールを送る側の組織にある。今はSpoofStickをエンドユーザーが使っているが,エンドユーザーが気にして対策をとらなくてはならないのは本末転倒ではないか」とし,「今後は例えば銀行側が,メールは本物であるとユーザーに対して証明すべき」と主張。「長期的にはディジタル証明書,S/MIME,OCSP(online certificate status protocol)であるとか,それを取り巻く技術が本来のソリューションだろう」と説明している。また,このような技術の市場は日本にもあると考えており,現在パートナーを決めている最中だと明かした。「SpoofStickについても関心のある企業があれば話をしていきたいし,ローカライズは簡単だと思っている」(同)。
