ワシントン発--eBayの最高経営責任者(CEO)であるMeg Whitman氏は米国時間3月8日、大規模なオークション事業を営む同社を支えている顧客の信用に対して、フィッシングが最大の脅威となっていると発言した。
Whitman氏は当地で開催された「Visa Security Summit」で講演を行い、eBayは不正なアカウントからのアクセスを検知するための詐欺モデル構築に努めてきており、世界中で専門家を雇用し、警察当局の犯罪捜査に協力していると話した。それでも、消費者が個人情報漏えいの被害に遭ったり、あるいは迷惑行為を受けてeBayアカウントを削除せざるを得なくなったりする事態を回避するために、さらなる防御対策を施して、教育キャンペーンを展開していかねばならないと、同氏は主張した。
「われわれの(中略)売買システムを強化し、詐欺犯がユーザーに接触できないようにする必要がある。犯罪者への対抗策に全力を注ぎ、最終的にはeBayの顧客を狙うのは時間の無駄だと思わせるのだ」(Whitman氏)
セキュリティ研究者のMichael Sutton氏によれば、現在ではeBayおよびPaypalがフィッシング業者の2大ターゲットとなっており、全フィッシング攻撃の半分以上が両社を狙ったものだという。
Whitman氏は、ユーザーを偽の電子メールやウェブサイトの被害から保護するために同社が実施している3つの対策について、次のように解説した。
第1に、eBayと同社の傘下にあり支払いサービス会社のPaypalは、Microsoftと協力し、両社の商品やサービスとよく似た外観および使用感を持つものの、実際には不法な目的で個人情報を収集するのに悪用されている偽サイトのブラックリストを作成している。Whitman氏は、そうした偽サイトやフィッシングサイトをフィルタリングすることができるMicrosoftの「Internet Explorer 7」の機能を高く評価し、ほかのブラウザもこれに続いてほしいと希望を述べた。
第2に、eBayおよびPaypalは、送信する電子メールすべてに「ドメイン鍵署名(domain key signing)」を施している。Whitman氏はこれを、「われわれのシステムから発信された正規の電子メール1通1通に、暗号化した形で付与する署名と同等の働きをするもの」と説明した。両社は、主要な電子メールおよびインターネットサービスプロバイダーに対し、こうした特有の署名を含む電子メールだけを通すよう要請しているという。
第3に、ユーザーパスワードと併用する固有のセキュリティコードを30秒ごとに生成する、Paypal専用キーホルダー型セキュリティトークンの運用を先だって開始したことを挙げた。
1998年にeBayのCEOに就任したWhitman氏は、オークションの落札代金を小切手や郵便為替、現金書留で支払うのが一般的だった当時を振り返ることから、今回の講演を始めた。
「今の社会で、紙幣と小切手だけを用いてインターネットビジネスを営むことなど、はたして考えられるだろうか」と、同氏は聴衆に語りかけた。
Whitman氏がeBayに入社したときは、「Beanie Baby」というぬいぐるみが商品の8%を占めていたが、現在では、ダイヤモンドリングや車、デジタルカメラなどが飛ぶように売れているのだという。2006年末には、同社サイトの登録ユーザー数が2億2200万に達している。
Whitman氏は、高額商品の販売が成功するかどうかは、eBayがユーザーフィードバックツールを組み合わせたり、主要クレジットカード発行企業と協力したりして築き上げてきた顧客の信用にかかっていると述べる。
Whitman氏は、「われわれのシステムに対する信用が得られなかったなら、60億ドル規模のビジネスまで発展しなかっただろう」と述べ、「私はeBayでの経験から分かったことがある。顧客と信頼関係を築き、維持することは、一度失った信用を取り戻すよりもずっと簡単だということだ」と語った。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス