フィッシングサイトをクライアント側から識別するソリューション

　セキュアブレインは24日、同社が独自開発したフィッシング詐欺防御ソリューションPhishWallを発表した。これまでのソリューションとは違い、PKIを利用してクライアント側からウェブサーバの真正性を確認できるという。

　セキュアブレインは、今年10月に設立されたばかりのインターネットセキュリティソリューション企業。同社の代表取締役社長を務めるのは、シマンテック前社長の成田明彦氏だ。「セキュリティ関連ソリューションといえば外国製品が多かった。国産のソリューションがないことを疑問に感じていたが、セキュアブレインは日本発のソリューションを発信していく」と、成田氏は新会社に対する意気込みを語った。

セキュアブレイン 代表取締役社長 成田明彦氏

　PhishWallは同社の製品第一弾となる。メールやウェブサイトを使って個人をだまし、パスワードなどを引き出すフィッシング詐欺が横行しており、これまでにもフィッシング対策のソリューションとしては、アンチスパム技術によるフィッシングメールの検出や送信者認証技術によるメール送信者の確認、URLフィルタリングによる不正アドレスチェックなどが存在していた。これら技術の弱点についてセキュアブレイン プリンシパルセキュリティアナリストの星澤裕二氏は、「アンチスパムがすべてのフィッシングメールを検出することは不可能。また、フィッシャーも送信者認証技術を利用することができる。URLフィルタリングでブラックリスト方式を取っている場合、リストの更新が追いつかない」と述べる。

　セキュアブレインの開発したPhishWallは、フィッシングを防止するための新たなソリューションになるという。PhishWallはクライアント側からウェブサーバの真正性を確認する認証技術。サイト運営者はPhishWallサーバを利用することでサイトの信頼性を高めることができ、エンドユーザーはブラウザプラグインとなるPhishWallクライアントを利用し、PhishWall対応のウェブサイトであれば青信号が表示されるため安全性を確認できる。一度PhishWall対応サーバに訪問してサーバの真正性が確認できたのちに同サイトを偽った詐欺サイトをユーザーが訪問した際には、赤信号が表示される。

　なお、接続先がPhishWall対応サイトでない場合は、通常のサイトでもフィッシングサイトでも信号は表示されないが、PhishWallクライアントではアクセスするサイトが存在する国の国旗が表示されるため、日本国内のカード会社を偽って海外サイトにアクセスさせるような場合は、サーバの場所によって詐欺を疑うことができる。

　「Gartnerの調査によると、過去12カ月間でのフィッシングの被害額は総額24億ドルにものぼるとされている。金銭的な被害だけでなく、企業の社会的信用を失うことにもつながり、またEコマースの発展にも影響を与える」と、星澤氏はフィッシングによる被害の大きさと防止策の重要性を説明する。

　PhishWallサーバ版に関しては、クレジットカード会社やオンライン取引を提供する銀行、証券会社、Eコマースサイトなど、フィッシング対策が必要な企業を対象に販売する。価格体系は年間使用料を支払うライセンス販売で、5万ユーザーを持つサイトの場合3000万円（1ユーザーあたり月額50円）と予定されている。2005年3月中旬より出荷開始の予定で、初年度の売上げ目標は1億5000万円を見込んでいるという。クライアント版は、これらサイトを利用するすべてのユーザーが対象で、ウェブからのダウンロード、ソフトウェアやハードウェアとのバンドルなどで配布される予定。