~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > 第6回:攻撃側の環境はそろっている。防御とユーザーのリテラシー向上が重要――日本ベリサイン株式会社

インタビュー

第6回:攻撃側の環境はそろっている。防御とユーザーのリテラシー向上が重要――日本ベリサイン株式会社

2010年03月23日

フィッシング詐欺の被害防止や対策において、サーバー証明書が果たす役割は決して小さくない。サーバー証明書が、正規サイトなのかフィッシングサイトなのかを区別する指標になりえるからだ。

 

最近では、金融機関などのサイトとブラウザのEV SSLへの対応が進み、ユーザーに正規サイトとフィッシングサイトとの区別を視認しやすくする取り組みも広がっている。
第6回の「フィッシング対策の現場から」は、日本ベリサイン株式会社 SSL製品本部 上席部長平岩義正氏に話を聞いた。

 

 

フィッシング動向の海外比較

―ベリサインといえば、サーバー証明書発行、認証局として有名ですが、その立場でみた、日本におけるフィッシング詐欺の動向をどうとらえていますか。

 

平岩氏:日本では、海外に比べてフィッシング被害が少ないといわれていますが、グローバルなネット犯罪の世界では、フィッシング詐欺を行うことは難しいものではなくなっています。攻撃ツールやメールアドレスのリスト、レンタルサーバーなどの環境もそろっています。フィッシング詐欺を実行しようと思えば、専門の知識がなくても、必要な道具はすぐに入手できてしまうといっていいでしょう。
日本においても、いつでもフィッシング詐欺が蔓延する可能性はあると思っていますので、フィッシングサイトを立てられる被害を最小限に抑えるためにも、サーバー証明書の役割は重要だと考えます。

 

―ベリサインを始め、業界では新しい証明書技術であるEV SSLの普及に取り組んでいますが、EV SSLについてご説明いただけますか。

 

平岩氏:EV SSLとは、主要な認証局ベンダとブラウザベンダから成る組織が策定した認証ガイドラインに基づいて発行される証明書です。同ガイドラインでは、従来の証明書よりも厳密な方法によって実在性を確認することが定められています。

ユーザーが最新版のブラウザでEV SSLのサイトにアクセスすると、アドレスバーの一部または全部が緑色に変わり、EV SSLが発行された組織名が表示されます。従来のhttpsというURLや鍵アイコンなどで確認する方法と比べて、視認性が高まり、正しいサイトかどうかがより分かり易く確認できるようになるため、フィッシング詐欺対策にも効果が期待されています。

 

EV SSLの有効性と課題

―企業や一般の反応はどうですか。SSLで十分という反応などはないでしょうか。

 

平岩氏:そもそも、暗号化通信やサーバー証明書において、企業の実在性、企業認証といった概念は一般には分かりにくい面がありますが、それでもサーバー証明書や鍵マークは安全という認識はある程度広まってきています。しかし、それを逆手にとり、過去には、サイトを運営する組織が本当に存在するかどうかを確認して発行された証明書ではなく、ドメイン名の登録情報を確認するだけの簡単な確認によって発行された証明書を使った鍵マークのあるフィッシングサイトも出現しました。

そのような簡単な確認による証明書でも、鍵マークは表示されますが、暗号化通信状態を示しているだけで、サーバーやサイトを運営している企業や組織の存在を証明するものではありません。このように鍵マークの信頼が揺らいでいるこのような状況では、EV SSLの重要性も高まってくるものと思っています。

 

―EV SSLの周知について、具体的にはどんな活動を行っていますか。

 

平岩氏:ベリサインでは、EV SSLの認知向上のためのプログラムを、4つのセグメントに分けて考えています。

1番目は、企業の経営者やマネージャ、CIOといった層に対するアピールです。2番目は金融機関などに絞った活動です。どちらも、関連のイベントやセミナーで、サーバー証明書やEV SSLがどういった機能を持ち、どんな効果があるのかを説明させていただいています。そのため、イベントでもブースを出して商品やサービスをPRするのではなく、セミナーや講演会など直接ユーザー企業の担当者に働きかけるものに注力しています。

3番目はメールマガジンです。購読を希望したユーザー企業の情報システム担当者や、上記セミナーの参加者が主な対象で、最近ではマーケティング担当者の割合も増えています。その理由は、サイトの安全性や企業のセキュリティに対する取り組みが、マーケティング活動にプラスに働く面があるからだと思います。ベリサインが行ったエンドユーザー向けの意識調査でも、EV SSLに対応している企業のサイトは個人情報を大切にしているイメージがある、という結果もでています。あるいは、ECサイトにおいて、サーバー証明書の有無が購買率に影響を与えたという話も聞いています。

最後の4番目は、エンドユーザー向けの直接の周知活動です。これは、金融機関などのホームページに、EV SSLや緑のバーの意味などを説明してもらう活動がメインとなります。いろいろな調査結果から、EV SSLの説明はサイトにアクセスしたときに行うのが効果的であるということが分かってきたので、金融機関についても自社の取り組みや安全性をアピールするためにも協力をいただいています。

他にも、ゲーム形式でフィッシングサイトの特徴を学んでもらおうというコンテンツなども公開しています。

 

これからは携帯電話にもURL表示や証明書の表示が必要

―最後に、今後の技術的な展開についてお話いただけますか。例えば、クラウドコンピューティングへの対応や携帯電話向けの対応など、プランや戦略などあればお願いします。

 

平岩氏:はい。EV SSLやサーバー証明書というものは、そのサーバーを運営する企業の実在性や認証を行うものなので、いまのところ、クラウドコンピューティングというスタイルに対して、直接関係する部分はありません。しかし、今後企業のクラウド化が進むと、クラウドサービスやプラットフォームを提供している事業者とサービス提供事業社への証明や認証など、いまとは違った形のものが必要なるかもしれません。そのためのサービスモデルの検討を進めている状態です。
携帯電話については、CAブラウザフォーラムという組織の中で、携帯電話でもURLを表示するしくみや、PCの暗号化通信やサーバー証明書のような第三者的な安全表示のしくみが必要であるという議論がなされています。
以前は、公式サイト=安心して利用できる目安のひとつ、ということになっていましたが、サービスのオープン化が進み、ここ3年くらいは携帯電話の通信事業者やブラウザベンダからも、URL表示やサーバー証明書などに対する前向きな議論がでています。こちらも新しい取り組みのひとつとなっています。

 

―なるほど。本日はお忙しいところありがとうございました。