ヤフーと産総研、フィッシング詐欺防止技術を開発 - Yahoo!オークションで実証実験
ヤフーと産業技術総合研究所は、パスワード相互認証プロトコルによるあらたなフィッシング詐欺防止技術を共同開発した。2007年度中に「Yahoo!オークション」上で実証実験を行う予定。
今回開発されたのは、クライアントとサーバの間でパスワードの相互認証を可能にする暗号認証技術「PAKE」をもとに開発したフィッシング詐欺対策技術。
両者はプロトコル設計を行った上で、PAKEの技術を活用しながらウェブの標準プロトコルであるHTTPおよびHTTPSへ適用。サーバーモジュールとブラウザ拡張機能を試作した。システムでは、サーバとクライアントが相互的に認証し、ユーザーがパスワードを入力しただけで認証だけでなく、サイトの真偽性を確認できる。
ユーザーが入力したパスワードは暗号化され送信、またサーバ側からも事前に登録されたパスワードを暗号化して送信され、それぞれが正しいパスワードか確認することで真偽性を検証。暗号化によりパスワードの盗難を防止するほか、プロトコルにおいて暗号化の際にドメイン名を利用するよう設計されており、中間者攻撃についても防御できるという。
またユーザー名とパスワードの入力欄は、偽サイトが入力欄を偽装することができないよう、ブラウザのツールバー領域に設けた。入力してボタンをクリックし、本物のサイトであれば緑色に表示される。ヤフーでは、2007年度中に「Yahoo!オークション」上で実証実験を行う予定。
(Security NEXT - 2007/03/27 )
ツイート
PR
関連記事
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
Adobe、複数製品にアップデート - 250件以上の脆弱性を解消
