ヤフー、フィッシング防止に有効なパスワード相互認証プロトコルを開発

　ヤフーはこのほど、産業技術総合研究所とウェブ利用に適したパスワード相互認証プロトコルを開発したと発表した。

　このプロトコルは、「PAKE（Password Authenticated Key Exchange）」と呼ばれる方式のひとつであるISO/IEC 11770-4のプロトコルを基盤として設計したもの。ユーザーにとっては、使い慣れたIDとパスワードを利用するだけでよく、サービス提供者はユーザーに新たな負担を強いることなく導入できる相互認証方式となっている。

　この方式では、ユーザーが入力したパスワードは乱数を用いて暗号学的に加工されてサーバに送信され、一方サーバ側は、そのユーザーのパスワードとして事前に登録されている情報を加工してユーザーのコンピューターに返す。ユーザー側でも、そのサーバが自分のパスワードを過去に登録したサーバであるかを検証することが特徴となっている。

　また、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用することで、フィッシング防止にも有効となる。偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもない。さらに、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応し被害を防止します。

　ヤフーでは、これまでにプロトコル仕様の設計を終え、この技術を実装したサーバモジュールとブラウザ拡張機能を試作している。2007年度中に「Yahoo! オークション」上での実証実験を行い、実際の運用に耐え得る仕組みであることを検証する。今後、本プロトコル仕様のRFC化に向けた手続きとしてインターネットドラフトを起草し、将来的にはオープンソースコミュニティにソースコードを提供して、ウェブにおけるパスワード相互認証の技術標準としての確立を目指す考えだ。