ヤフーと産総研、フィッシング詐欺防止技術を開発 - Yahoo!オークションで実証実験
ヤフーと産業技術総合研究所は、パスワード相互認証プロトコルによるあらたなフィッシング詐欺防止技術を共同開発した。2007年度中に「Yahoo!オークション」上で実証実験を行う予定。
今回開発されたのは、クライアントとサーバの間でパスワードの相互認証を可能にする暗号認証技術「PAKE」をもとに開発したフィッシング詐欺対策技術。
両者はプロトコル設計を行った上で、PAKEの技術を活用しながらウェブの標準プロトコルであるHTTPおよびHTTPSへ適用。サーバーモジュールとブラウザ拡張機能を試作した。システムでは、サーバとクライアントが相互的に認証し、ユーザーがパスワードを入力しただけで認証だけでなく、サイトの真偽性を確認できる。
ユーザーが入力したパスワードは暗号化され送信、またサーバ側からも事前に登録されたパスワードを暗号化して送信され、それぞれが正しいパスワードか確認することで真偽性を検証。暗号化によりパスワードの盗難を防止するほか、プロトコルにおいて暗号化の際にドメイン名を利用するよう設計されており、中間者攻撃についても防御できるという。
またユーザー名とパスワードの入力欄は、偽サイトが入力欄を偽装することができないよう、ブラウザのツールバー領域に設けた。入力してボタンをクリックし、本物のサイトであれば緑色に表示される。ヤフーでは、2007年度中に「Yahoo!オークション」上で実証実験を行う予定。
(Security NEXT - 2007/03/27 )
ツイート
PR
関連記事
国勢調査の調査票が運搬中に強風で飛散 - 統計センター
アプリマーケットの連携アプリ経由で顧客情報流出の可能性 - スマレジ
フィッシング攻撃契機に不正アクセス - アーク東短オルタナティブ
医師が個人情報含む診察室内写真をSNS投稿 - 横浜市医師会
米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
地震後の園児帰宅希望募る保護者向けメールで誤送信 - 佐用町
福袋発売の高負荷時にサイバー攻撃 - コスプレ通販サイト
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
