研究の概要
本研究では、近年インターネット利用の安全を脅かすものとして社会問題となっているフィッシング詐欺と呼ばれる手口に対する解決策として、「HTTPパスワード相互認証プロトコル」という、ウェブでの利用に適した新たな認証方法を提案します。この認証プロトコルはPAKEと呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用したもので、ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することによりフィッシングを防止します。偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもありません。また、従来の対策手法では解決されていなかった、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応し被害を防止します。
本研究は、株式会社ヤフーとの「インターネットにおけるセキュリティ強化技術の共同研究」の一環として行われています。
研究の背景
インターネットではここ数年、フィッシング詐欺と呼ばれる手口で、個人情報やパスワード等を詐取しようとする悪質な行為が横行し、社会問題となっています。フィッシングの被害に遭わないためには、ユーザーが個人情報等を入力する際に、ブラウザのアドレス欄に表示されたアドレスが自分の意図したサイトのアドレスに一致しているかを目視で確認することが基本ですが、現実には経験豊富なユーザーでもうっかり確認を怠ることがあり、また、本物とまぎらわしい名前のドメイン名で偽サイトが設置されていると目視確認では見分けにくいという問題がありました。
ウェブで利用できる従来の認証技術としては、SSLのクライアント認証方式がありました。クライアント認証を用いればパスワードをサーバーに送信することがないため、フィッシングによってパスワードを詐取されることはありませんが、この方式では事前にユーザーに電子証明書を配布する必要があり、導入コストの高さや使い勝手の悪さから、公衆向けサービスでの導入事例はほとんどなく、普及していないのが実情です。 一方、近年、フィッシング詐欺対策としてワンタイムパスワードをユーザーに利用させる手法が普及しつつありましたが、ワンタイムパスワードを用いるだけでは中間者攻撃によるフィッシングの手口に弱いという問題点が指摘されていました。この懸念は、2006年7月、ワンタイムパスワードを採用していた米国の大手銀行で中間者攻撃によるフィッシングの被害が明るみに出たことで現実のものとなり、抜本的な技術的解決策が求められているところです。
産総研 情報セキュリティ研究センターとヤフー株式会社 オークション事業部はこのような経緯を踏まえ、2006年1月よりフィッシング詐欺を防止するための新しいセキュリティ技術の開発を目指して共同研究を開始しました。