「オンライン詐欺対策市場」を開拓

2004年初頭から、一般消費者を狙った新しいネット上の脅威がアメリカで猛威をふるっている。偽装サイトを利用し、パスワードやクレジットカード情報を奪い取る「フィッシング詐欺」と呼ばれる一連の脅威である。シティバンクを装った事件などが有名だが、米ガートナー社の調査によると今年前半だけでもアメリカ国内のフィッシング詐欺被害額は12億ドルを超え、大きな社会問題と化している。

「フィッシング詐欺」の一般的な手順は以下の通りだ。まず、詐欺師（フィッシャー）は被害者に、送信元を企業（オンラインバンキングやショッピングサイト等）に装った電子メールを送信する。メールには、個人情報再登録をお願いする文章などが書かれており、そのためのURLがメールに埋め込まれている。そのURLにアクセスすると、企業のものにそっくりのサイトが表示され、騙された被害者はユーザアカウント、パスワード、そしてクレジットカード番号などを、何の疑いも無く送信してしまう、というわけだ。もちろん、最近ではユーザ側も単純なフィッシングには警戒感を強めており簡単には騙すことはできないため、ブラウザのユーザインタフェーススプーフィングとの組み合わせ、OSの脆弱性の利用など、複合的で高度なフィッシングが行われる傾向にある。

セキュアブレインが「新しい市場」として開拓を決めた市場は、この「フィッシング詐欺」を代表とする「オンライン詐欺対策市場」である。ここにターゲットを絞った理由は単純明快だ。つまり、デファクトスタンダードとなる技術が存在していないこと、今後大きな社会的影響をもたらすことが容易に推測できること、そして、そのとき基盤技術が大きな社会的意義を持つと予想できること、である。
セキュアブレイン設立の構想が具体化していた頃、「フィッシング詐欺」はまだ日本に上陸していなかった。しかし、最近になって日本語のフィッシングメールが相次いで発見された。有名なところでは、ジェーシービー、ビザインターナショナル、ヤフージャパン、イーバンクなどを騙ったフィッシングメールが報道されている。こういった世の中の流れを、早くからセキュアブレインでは読み取り、独自のソリューションを開発してきたのだ。

現在のフィッシング詐欺対策ソリューションが抱える問題点

「フィッシング詐欺」に対するソリューションには既にいくつかのソリューションが発表されている。しかし、「それらには根本的な問題が存在している」と、セキュアブレイン　プリンシパルセキュリティアナリストの星澤氏は言う。
現在主流のフィッシング対策ソリューションは、メール型とウェブ型に分けることができる。メール型はアンチスパムソリューションの延長として、フィッシングメールをフィルタリングするもの。ウェブ型の代表格がフィッシングサイトを事前登録し、コンテンツフィルタリング技術でフィッシングサイトへのアクセスを遮断するタイプのものである。
星澤氏は、これら二つの方法には、フィッシャーとのいたちごっこに陥る危険性があると指摘する。フィッシングメールは日々進化しており、ウイルスやワームと同様、日々パターンファイルを更新する必要がある。また、フィッシングサイトのURLも刻々と変化している。基本的に愉快犯の手によるウイルスやワームと違い、フィッシングで相手にしなければいけないのは、金銭目当てのプロ詐欺集団である。彼らの作り出すメールやウェブサイトの進化のスピードは想像を絶する。フィッシングサイトの中には、数時間で消えてしまうものもあるのだ。これでは、今までのウイルス対策、コンテンツフィルタリングに基づくソリューションで追いつくことは、とてもできない。

SSLサーバ認証もフィッシング対策としては不十分

セキュアブレインの新ソリューション「フィッシュウォール」はクライアントとサーバの間で認証を行うことで、サーバの正当性を確認し、フィッシングを防止する全く新しいソリューションだ。こう書くと、SSLによるサーバ認証との違いは何なのか、という疑問が当然わいて来ることだろう。そこでまず、フィッシング対策としてのSSLサーバ認証の問題点を述べ、その後で「フィッシュウォール」について解説することにする。
SSLサーバ認証では、まず認証局（CA）がウェブサーバを認証し証明書を発行する。次に、クライアントがその証明書を読み、証明書の記載事項と実際のドメイン名を比較し、サーバの正統性を確認するというわけだ。ここで注意したいのはクライアントが確認しているのは「認証局がそのサイトを認証した」という一方向認証の事実のみだと言うことだ。つまり、フィッシングサイトが認証局の認証を受けさえすれば、表面上はSSLサーバ認証が行われたように見せかけることも可能となる。
もっとも、「そのようなフィッシングの事例は過去に無い」（星澤氏）とのことだが、SSLのセキュリティホールを悪用することで、あたかもSSLサーバ認証が行われているかのように見せかけるフィッシング事例が、既に報告されている。また、意外な盲点なのだが、SSLで使われるサーバ証明書がすべて英語であると言う点も、日本人にとってはSSLサーバ認証が使いにくい大きな原因になっている。証明書も会社名もすべて英文という環境下で、すべての日本人が証明書の正統性を確認するのには、かなり無理があるのだ。さらに、サーバのサイト名と運営会社名が一致していない事例も多数存在する。ユーザが簡単に確認できる、と言う点からは少々遠い位置にSSLサーバ認証技術は存在しているといえる。

オンライン詐欺対策製品第一弾「フィッシュウォール」

「フィッシュウォール」（2005年3月中旬発売予定）では、SSLサーバ認証のこのような問題点克服を目指す。あらかじめウェブサーバとクライアントにモジュールを組み込んでおくことで、クライアントからサーバへの認証を実現するのだ。まず、最初にクライアントがサーバにアクセスする際、クライアントは独自のIDを生成し、暗号化した上でサーバに送信する。サーバはそれを保存しておき、以降同一クライアントからのHTTPリクエストが発生するたびにそれを返送する。クライアントは暗号化されたIDを復号し、本来のIDと照合することで、そのサーバが「最初にアクセスしたあのサーバ」であることを確認するという仕組みだ。
これは、ユーザからもサーバを認証してしまおう、という全く新しい発想だ。暗号化されたIDの返送はすべてのHTTPリクエストに対して行われるので、フレームなどを使った偽装も不可能となる。現在開発中のバージョンではクライアントモジュールとしてツールバー方式を取ることを検討している。アクセスしたサイトが正統なものであればツールバーの緑色信号が点灯、アクセス先が常に利用している安全かつ信頼が置けるサーバであることを、リアルタイムにユーザに知らせてくれるツールバー。 これなら、ネットセキュリティに詳しくない一般のユーザであっても、直感的にそのサイトの安全性や危険性を認識・確認することができる。

まずは「セキュリティツールバー」という概念の確立を目指して

現在最終的な開発段階にある「フィッシュウォール」には未解決の問題がいくつか存在している。最初のアクセス時にサーバの正統性をどう保証するのか、アドレスバーを上書きするサイトがあるように、フィッシュウォールツールバーを上書きされてしまう可能性はないのか、などの問題は星澤氏も認識しており、「具体的にはいえないが既に対策を始めている」とのことだ。また、フィッシャーとのいたちごっことなる可能性についても、「可能な限りの対策を発売前に施し、発売後も継続的にサポートしていく」とのことであった。

現在、対応サーバはWindows 2000 ServerおよびWindows Server 2003、対応ウェブサーバアプリケーションはMicrosoft IIS、対応クライアントはWindows版Internet Explorerのみとなっているが、SolarisやLinuxといったサーバへの対応、Apacheなどのサーバアプリケーションへの対応が検討されているという。また、メジャーなブラウザにも対応していく予定とのことだ。
フィッシュウォールのクライアントモジュールは無償で提供される予定だ。しかし、フィッシュウォールのサーバモジュールが普及しないと、クライアントモジュールを使っても多くのサイトの正統性が証明できず、結果としてクライアントモジュールの普及につながらない。そこで、星澤氏らはサーバモジュールのインストールされていないサイトであっても、ある程度の認証が可能となるよう、クライアントモジュールを機能拡張している。信号を使ったユーザインタフェースに加え、アクセス先のIPアドレスチェック機能やサーバの所在国表示機能などが既に付け加えられている。
最終的には、「セキュリティツールバー」のスタンダードを得られればよいのではないか。星澤氏らはそう語っていた。しかし、一方でサーバモジュールの営業も本格的に行われている。詳細を聞くことはできなかったのだが、ターゲットとなるクレジットカード、金融、証券、オンラインショップなどの各業界で、フラグシップとなるユーザ獲得の話が進んでいるようだ。「フィッシュウォールが」業界標準のフィッシング対策ツールとなる日は意外と近いかもしれない。

温かみのある、人間中心のセキュリティを目指して

セキュアブレインでは「フィッシュウォール」に続く第二弾、第三弾製品を既に企画している。携帯電話やPDA向けのフィッシング対策ソリューションがその候補に上がっているとのことだ。これも現在では全く顕在化していない脅威だが、いずれ必要となるだろうというのが、セキュアブレインの見方である。また、海外への進出も積極的に行っていくという。既に海外企業との商談もある程度進んでいるとのことだ。
最後に成田氏は「現在のセキュリティソリューションは冷たい」と語ってくれた。例えば、「パスワードは頻繁に変えてください」という対策など、ユーザのことをまるで考えていないというのだ。確かに、冷静に考えてみると既存のセキュリティの多くは人間的ではない。だが、本当にセキュリティを必要としているのは、PCに詳しくない一般の普通の人々なのだ。安心してインターネットを使えない環境が蔓延しては、インターネットはいつまで経っても一部の人々だけのものとなってしまう。温かみのある、人間中心のセキュリティソリューションにより、安心して使えるインターネットを整備することで、日本経済の発展、社会への貢献を行って行きたいという。
セキュアブレイン。まだまだ小さな会社だが、しばらくは、今後の動向から目を離すことができなさそうだ。