ヤフーと産総研、フィッシング詐欺防止技術を開発 - Yahoo!オークションで実証実験
ヤフーと産業技術総合研究所は、パスワード相互認証プロトコルによるあらたなフィッシング詐欺防止技術を共同開発した。2007年度中に「Yahoo!オークション」上で実証実験を行う予定。
今回開発されたのは、クライアントとサーバの間でパスワードの相互認証を可能にする暗号認証技術「PAKE」をもとに開発したフィッシング詐欺対策技術。
両者はプロトコル設計を行った上で、PAKEの技術を活用しながらウェブの標準プロトコルであるHTTPおよびHTTPSへ適用。サーバーモジュールとブラウザ拡張機能を試作した。システムでは、サーバとクライアントが相互的に認証し、ユーザーがパスワードを入力しただけで認証だけでなく、サイトの真偽性を確認できる。
ユーザーが入力したパスワードは暗号化され送信、またサーバ側からも事前に登録されたパスワードを暗号化して送信され、それぞれが正しいパスワードか確認することで真偽性を検証。暗号化によりパスワードの盗難を防止するほか、プロトコルにおいて暗号化の際にドメイン名を利用するよう設計されており、中間者攻撃についても防御できるという。
またユーザー名とパスワードの入力欄は、偽サイトが入力欄を偽装することができないよう、ブラウザのツールバー領域に設けた。入力してボタンをクリックし、本物のサイトであれば緑色に表示される。ヤフーでは、2007年度中に「Yahoo!オークション」上で実証実験を行う予定。
(Security NEXT - 2007/03/27 )
ツイート
PR
関連記事
【特別企画】国内外専門家が集うインテリジェンスサミット - 非公開の最新脅威情報も
Amazon関連ドメイン取得、3週間で700件以上 - プライム感謝祭を標的か
データ分析ツール「Apache Kylin」に認証回避の脆弱性
NoSQLデータベース「Redis」に複数脆弱性 - 「クリティカル」も
一部サーバでランサム被害、データ転送量は限定的 - HAホールディングス
特別支援学校で児童情報含むファイルをメールに誤添付 - 埼玉県
「Zabbix」のWindows向けエージェントに権限昇格の脆弱性
「Oracle E-Business Suite」が標的に - 更新や侵害状況の確認を
Red HatのGitLab環境が侵害 - サプライチェーンへの影響なし
先週注目された記事(2025年9月28日〜2025年10月4日)
