フィッシング対策用サイト認証(NTTコムウェアのフィッシュカット) 



NTTコムウェア社は、4月10日からフィッシング対策サービス「PHISHCUT」の提供を開始しました。ネットバンキングを舞台としたフィッシング詐欺では、偽の銀行サイトに誘導してIDやパスワードを詐取する方法が取られます。そこで銀行サイトが本物だと証明するために、サイト認証を行なうことになりますが、これが利用者にとって余りに面倒なので普及していません。フィッシュカットは、コムウェアの認証センターをASPとして使うことで簡単な認証サービスを提供します。

http://www.nttcom.co.jp/phishcut/security.html

具体的な仕組みは、

@    銀行(サイト提供者)は、コムウェアから受け取る電子透かしを自社サイトに埋めこむ。

A    利用者は、コムウェアから専用ソフトをダウンロードしておく。

B    利用者がサイト認証する際には、コムウェアの認証システムが当該サイトの電子透かしを確認して、透かしがない、或いは偽の透かしの場合は、警告を発しデータ伝送を停止する。

という方式です。

電子透かしは、コムウェアの独自仕様で作られており、専用ソフト以外での読み出しはまず困難だそうです。利用者は、専用ソフトをダウンロードした後に、必要な検証事項を登録しておくだけで、取引時の認証は自動的に行なわれます。つまり、認証が拒否される場合を除けば、認証操作を意識することはありません。

サイト提供側は、電子透かしを自社サイトの任意の場所に埋めこんで、コムウェアの認証システムに登録するだけです。既存のネットバンキング・システムへの変更は一切不要です。

料金は半従量制で、月間利用件数25万件以下で月額50万円、50万件以下で100万円という程度です。中堅地銀の月間利用件数が10万件台ですから、極めて廉価にサイト認証が可能となります。

加えて、銀行にとってありがたいのは、自社システムに追加変更がないだけでなく、顧客ソフトの配布管理をコムウェアが行なうことです。銀行自身が提供するとなると、その品質保証に始まってバージョン管理など大変な手間暇とトラブルの元を抱えますが、その心配がありません。

利用者にとっては、専門知識を要求されるサイト認証を簡単に行なえるとともに、他の取引銀行も、この認証システムを採用すれば、マルチバンクのサイト認証が可能となります。

コムウェアは、このサービスを開始するにあたり、メガバンクを含めた複数の銀行と認証手順などを詰めたそうです。また、電子透かしの確実性と認証方法が破られる可能性がないかセキュリティ専門企業のアタッキング検証を受けています。公的機関のセキュリティ専門家も、この方式の堅牢性と導入容易性には感心したとの話も聞きました。

フィッシング対策としては、サイト認証、利用者認証の双方が必要です。利用者認証にはワンタイムパスワードが主力視されています。特に、ICカード併用型トークンが利便性と安全性で高く評価されています。この場合も、パスワード発生と認証を行なうセンターが必要ですが、銀行側負担だけでなく利用者利便からしても、マルチバンク機能を持つASPが必要になるでしょう。

といっても、銀行側が何もしなくて良いとはなりません。顧客によって異なる取引背景や取引条件ニーズがあります。ログオンする場所、IPアドレス、取引実行時の振るまいなどをチェックするリスク・ベース認証などでは、3者間認証が馴染まないので銀行自身が行なうことになります。顧客を守る最後の砦として銀行の役割は重要で、銀行としてはセキュリティ対策の効率と効果を考えて、複数のセキュリティ対策の組み合せが必要になります。