ペイパル、キーホルダー型パスワード生成機器の提供を開始へ

　オンラインオークション大手のeBayは、オンライン決済サービスPayPalのセキュリティ向上を約束するキーホルダー型パスワード生成機器を同サービスの利用者に提供する準備を進めている。

　この機器は、およそ30秒毎に6桁の新しいワンタイムパスワードを表示する。PayPalのユーザーがこの機器を使用する場合は、同サービスにサインインする際に通常の認証に加え、この機器が生成したパスワードを入力する。このキーホルダー型機器は、データを盗み出すフィッシング詐欺に対する新たな対抗手段として開発された。

　PayPalの広報担当Sara Bettencourt氏は、米国時間1月11日に行われた電話インタビューの中で、「仮に詐欺集団が、ある人物のユーザー名とパスワードを何とか入手したとしても、彼らはそのアカウントに入ることはできない。なぜなら、彼らは（キーホルダー型機器が生成する）6桁のコードを知らないからだ」とした上で、「しかし、これは決して詐欺行為を止める特効薬ではない。これは詐欺に対する新たな防御手段にすぎない」と語った。

　Bettencourt氏によると、「PayPal Security Key」と呼ばれるこの機器の価格は、個人アカウント用は5ドルだが、企業アカウント用は無料だという。PayPalは過去数カ月間、同社の従業員を使って同機器のテストを実施してきたが、2月あたりから顧客による試用を開始する予定だという。eBayによると、PayPalのアカウント数は2006年9月30日時点でおよそ1億2300万件だったという。

　Bettencourt氏によると、米国、ドイツ、オーストラリアのPayPalユーザーは、特別に設置されたウェブサイトを通じて、同機器の試用への申し込みが可能だという。「その反応を見た上で、いずれ他の国々にもサービスの提供範囲を拡大していきたい」（Bettencourt氏）

　PayPalのパスワード生成機器は、VeriSignの技術を基礎としている。eBayは2005年にセキュリティ分野でVeriSignと提携を結んだ。このようなキーホルダー型パスワード生成機器は、企業資源へのアクセス時のセキュリティを強化する目的で複数の大企業が導入している。また一部の銀行や証券会社も、高額預金者にそれらの機器を提供している。VeriSign以外でパスワード生成機器を提供している企業としては、RSAやVascoなどが挙げられる。

　eBayやPayPalは、フィッシングの標的にされるケースが多い。広く蔓延するフィッシング詐欺の一般的な手口は、まず本物のウェブサイトとそっくりの偽サイトを用意し、スパムメールで人々を騙してそのサイトに誘導し、ログイン名やパスワードなどの個人情報を入力させるというものだ。