お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。
2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。

ニュース
産総研 > RCIS > ニュース一覧 > 抜本的なフィッシング詐欺防止技術を開発

2007年3月23日: 抜本的なフィッシング詐欺防止技術を開発 〜ウェブに適したパスワード相互認証プロトコル〜

【ヤフー・RCIS 2007年3月23日発表 / 10月22日 Web掲載】

 独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【センター長 今井 秀樹】とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、2006年1月から進めてきたインターネットにおけるセキュリティ強化技術の共同研究の成果として、ウェブでの利用に適したパスワード相互認証プロトコルを開発しました。

 本技術は、近年インターネット利用の安全を脅かすものとして社会問題となっているフィッシング詐欺と呼ばれる手口に対して、パスワードや個人情報を詐取される被害を防止するための抜本的な解決策です。PAKEと呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用したもので、ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することによりフィッシングを防止します。偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもありません。また、従来の対策手法では解決されていなかった、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応し被害を防止します。

 これまでにプロトコル仕様の設計を終え、本技術を実装したサーバーモジュールとブラウザ拡張機能を試作しました。2007年度中に「Yahoo!オークション」上での実証実験を行い、実際の運用に耐え得る仕組みであることを検証します。今後、本プロトコル仕様のRFC化に向けた手続きとしてインターネットドラフトを起草し、将来的には、オープンソースコミュニティにソースコードを提供して、ウェブにおけるパスワード相互認証の技術標準としての確立を目指します。