日本ベリサインは都内で記者説明会を開催し、高度化するオンライン詐欺の最新動向と、その脅威からユーザーを守る「ベリサインアイデンティティプロテクション」の概要を説明した。
さらに高度化するオンライン詐欺の脅威
インターネットが普及することで、我々の生活やビジネスはさまざまな恩恵を受けてきたが、その半面、オンライン詐欺のような脅威も生じている。これらの脅威は年々新たな手法が登場し、高度化している。これに対処するためには、より強固な認証の仕組みが必要となる。
ベリサインは、SSLサーバ証明書でよく知られている会社だ。eコマースサイトを利用すれば、必ず「VeiSign Secured」のシールを目にするだろう。そして同社が提供するオンライン詐欺対策のソリューションが、「ベリサインアイデンティティプロテクション」(VIP)だ。
日本ベリサインのマーケティング部 相原敬雄氏は、ネットを介した攻撃の動機が初期の功名心から、利益のために変化していると語る。そしてクラッカー個人が攻撃していた時代から、今では組織化が進みつつあるという。内容もかつては不特定多数をターゲットとしているために、不自然な文面のものが見られたが、今では「手術攻撃」と呼ばれるピンポイント攻撃の手法も登場している。
相原氏によればクラッカー用のツールも高度化しており、多くのボット(クラッカーにコントロールされてしまうPC)を操るための分かりやすいGUIを備え、通信に一般的なHTTPを使用するものがあるという。これらのツールは「プログラム作成のプロ」の手によるものと考えられている。
このようなオンライン詐欺に対処するためには、Webサイトおよびユーザーそれぞれに強固な認証が必要だ。ベリサインでは、Webサイトの認証として、おなじみのSSLサーバ証明書や次世代のSSLであるEV(Extended Validation)SSLといった仕組みを用意している。そしてユーザーサイドの強力な認証に関する包括的なソリューションが「ベリサインアイデンティティプロテクション」(VIP)である。
VIPには「オンライン詐欺検出サービス(FDS: Fraud Detection Service)」、「オーセンティケーションサービス」という2つのサービスを用いて、ユーザー保護する。FDSは、(1)不正行為の検出、(2)リアルタイム介入、(3)捜索と解決という3つの機能を持つ。
「不正行為の検出」とは、あるユーザーの不自然な行為を見つけ出すことで、具体的には日本在住でネットバンクを利用しているユーザーのIDとパスワードが、急に中国から利用されるといった状況をピックアップできる。
「リアルタイム介入」とは、不正と思われる行為を見つけ出した際に、その場で対応を行なうことだ。前述の例で言えば、不正使用の可能性以外に、たまたまユーザーが中国に出張していて、現地から使っていることも考えられる。この場合VIPは、通常のID/パスワード認証後に本人確認用の質問を行ない、不正使用を極力防ぐ。
オーセンティケーションサービスは、ICカード、トークン、携帯電話など複数のデバイス、ワンタイムパスワード(OTP)、チャレンジ&レスポンスなど複数の認証方法をサポートした強固な認証プラットフォームだ。「OATH(Initiative for Open AuTHentication)」で規定されたオープン標準により、ネットバンク、株取り引き、公共サービスなど複数のサービスをカバーする共通の認証ネットワークを実現する。これは一見すると「.NET Passport」や「Liberty Alliance」など実現しなかった単一認証サービスに似ているように思えるが、各サイト固有のID/パスワードが残る点、個人情報は共有しないなどの点が異なっている。
相原氏は「強固だが使うのが面倒な仕組みを導入すると、ユーザーはそれを使わないので、かえって危険になる」と語る。VIPが供するセキュリティシステムは、ユーザーに不便を強いることなく、よりセキュアな環境が実現できる。
- ■関連サイト
- 日本ベリサイン株式会社
- http://www.verisign.co.jp/