Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

フィッシング防止する新認証に対応したブラウザを開発 - 産総研

産業技術総合研究所とヤフーは、新しい認証プロトコルを組み込んだウェブブラウザとApache用モジュールを開発し、公開した。

両者はフィッシング詐欺などを防止することを目的に、認証プロトコル「HTTP Mutualアクセス認証」の開発を進めており、今回、同技術をFirefox 3へ組み込んだウェブブラウザ「MutualTestFox」と、同ブラウザにより認証を行うためのApache用追加モジュール「mod_auth_mutual」を開発、公開したもの。

新しい認証プロトコルでは、サーバ側の認証だけでなく、ブラウザ側にサーバーを認証する機能を実装したことにより、サーバ側にパスワードがあらかじめ登録されているか確認を実施。パスワードが登録されていないフィッシング詐欺サイトとの認証を防止。パスワードは、PAKE方式の暗号プロトコル利用することから盗聴も不可能で、プロトコル上、中間者攻撃の認証も成功しないという。

また、同プロトコル専用のパスワード入力欄をブラウザのアドレスバー領域に設置。認証成功時には、ユーザー名がアドレスバー領域に緑色の背景で表示されるなど、認証の状況を視覚的に確認できるよう工夫した。

産総研は、新認証プロトコルの技術評価を目的として、Firefox 3ブラウザの改変部分とApache用モジュールをオープンソースライセンスで提供し、「Yahoo!オークション」で2008年6月より実証実験を開始する予定。今後は同プロトコルの標準化作業を進め、各ブラウザに標準搭載されるよう開発者のコミュニティへ働きかけていく。

(Security NEXT - 2008/04/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

「セゾンカード」装うフィッシング - 複数文面を悪用
「情報セキュリティ10大脅威 2023」 - 組織は「ランサム」が引き続き首位
地銀利用者を狙うフィッシング - 今度は「ちばぎん」偽装
2022年4Qインシデント件数は減少 - ウェブ改ざんなど減少
「静岡銀行」装うフィッシング攻撃 - 取引目的の確認などと誘導
2022年のサイバー攻撃、前年比38%増 - 教育分野への攻撃増加
クラウドサービスの請求額通知などを偽装するフィッシングに注意
2022年12月のフィッシングURL、7カ月ぶりの1万件台
メールサーバ管理者アカウントに不正アクセス - 彩の国さいたま人づくり広域連合
「PayPayカード」の利用通知に見せかけた詐欺メールに警戒を