2005/01/18

記事一覧へ >>

武富士は2004年12月，全社を挙げたフィッシング・メール対策をスタートさせた。その内容は，社外に送信するすべての電子メールにS/MIME（Secure/Multipurpose Internet Mail Extensions）形式の電子署名を添付するというもの。改ざん防止の目的で電子署名を利用するケースは多いが，フィッシング対策で導入するのは珍しい。

図1●武富士が導入したフィッシング対策 2004年12月から，社外に送信するメールにはS/MIME形式の電子署名を必ず付加するようにした。今後，この事実を社外に告知し，「武富士（takefuji.co.jp）のメール・アドレスで送信されたメールに電子署名が無ければニセモノである」ということを顧客に認知してもらう。これにより，自社を騙（かた）ったフィッシングによる被害を抑える

図2●S/MIMEを利用した電子署名の仕組み 武富士の社員は，認証局から得たデジタル証明書をあらかじめPCにインストール/設定しておく（(1)〜(3)）。メールを送信する際は秘密鍵で電子署名を作成し，公開鍵と署名を添付する（(4)）。それを受信した顧客は公開鍵を使ってメールの正当性を検証する（(5)）

　大手金融機関や商用サイトを装って個人情報などをだまし取るフィッシング。国内でも既に「ビザ・インターナショナル」や「ヤフー」を騙（かた）った日本語のフィッシング・メールが出回っている。電子署名は改ざん防止の目的で利用することが多いが，広がる被害に危機感を抱いた武富士は，フィッシング対策として導入した（図1[拡大表示]）。

　同社では，社外に送信するすべての電子メールにS/MIME形式の電子署名を添付する。S/MIMEは電子メールの暗号化や電子署名の付け方を規定した仕様。同社の高瀬逸穂氏（取締役 執行役員 情報システム部長 情報システム部・カード事業部担当）は，「武富士からのメールにはすべて電子署名が付いている。『電子署名が無いメールは武富士からのものではない』という認識を広めることが重要」と，電子署名をフィッシング対策に活かすポイントを語る。

　武富士の顧客は，Outlook ExpressやNetscape MessengerなどS/MIME準拠のメール・ソフトで受信すれば，メールの真贋を簡単に確かめることができる。例えばOutlook Expressの場合，電子署名が添付されたメールを受信すると，図1右のようなマークがメールの閲覧画面に表示される。このマークをクリックし，［証明書の表示］-［署名の証明書］を選択すれば，電子署名の作成に利用された証明書を確認できる。証明書が武富士のものであれば，正真正銘，武富士が送ったメールであると判断できる。

「署名無きメールは送信させない」

　電子署名の導入に当たっては，日本ベリサインが提供する「マネージドPKIサービス」を採用した。証明書の登録/発行/取り消しなどを管理する認証局は日本ベリサインが運用する。導入の流れは，以下のようになる（図2[拡大表示]）。まず，(1)同社の社員が認証局にアクセスして秘密鍵と公開鍵を作成する。(2)認証局は公開鍵を登録し，証明書を発行する。あとは，(3)その証明書をPCにインストールし，Outlook Expressなどのメール・ソフトに設定すれば電子署名を添付する環境が整う。

　社員がメールの送信を指示すると，メール・ソフトが秘密鍵で電子署名を作成し，公開鍵と署名を自動的に添付する（図2(4)）。メールを受信した顧客は，公開鍵を利用してメールの正当性を検証する（同(5)）。この検証自体は，S/MIME準拠のメール・ソフトを利用していれば自動的に行われる。

　武富士は「電子署名の導入により，フィッシングの被害を未然に防止できる」と期待するが，課題も残る。顧客がS/MIME準拠のメール・ソフトを利用していない場合は，電子署名の正当性を検証できない。特に問題となるのが携帯電話やWebメールのユーザー。S/MIME形式の電子署名を検証できる機能を備えた携帯電話機は見当たらない。さらに，同社では「すべての社員に証明書をダウンロード/設定させる」（高瀬氏）ようにしているが，強制力はない。その気になれば，電子署名を添付しないで送信できる。そのため，今後は「電子署名を付けないと，メールを送信できないようにする仕組み作りも検討していく」（同氏）。