サイト内検索

|  詳細検索

【 ここから本文 】

• TOP
• >  Topics : 標準化動向
• >  

標準化動向

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

［米国］
マイクロソフトなど各社、新たなフィッシング対策技術の普及を推進

「EV SSL」認証プログラムへの取り組みをアピール

（2007年01月29日）

　Webの安全性向上に向けた取り組みを推進しているマイクロソフトと関連業界のパートナー企業は、フィッシング詐欺に対抗する新技術の普及拡大に力を入れている。

　米国マイクロソフトは、今年2月にサンフランシスコで開催される「RSA Conference 2007」（2月5日〜9日）で、正規のサイトになりすますことを困難にする新しい認証プロセスをパスした数多くのサイトを発表する予定だ。

　同プロセスでは、Webサイトがベリサインやエントラストといったサードパーティの認証機関の認証を得るためにより厳格なガイドラインをパスしなければならない。

　新しい認証プロセスをパスしたサイトには、「EV SSL（Extended Validation Secure Sockets Layer）」と呼ばれる証明書が交付され、Web利用者が個人情報を提供する際、正規のサイトかどうかを確認するのに使用される。

　マイクロソフトのWebブラウザ「Internet Explorer（IE）7」は、1月末までにEV SSL証明書をサポートすることになっており、これによって同社は他のWebブラウザ・メーカーをリードできると考えているようだ。しかし、多くのWebサイトで幅広く使用されるようにならなければ、EV SSLの効果も望めない。

　マイクロソフトIEチームの製品マネジャー、マーケロス・ディオリノス氏によると、同社は、EV SSLに関する広報活動を展開する計画だという。「EV SSLをサポートするサイトは増えており、今回のRSA Conferenceでは、その最初のグループを発表する予定だ」（同氏）

「EV SSL」について紹介する日本ベリサインのサイト

　EV SSL認証を受けたWebサイトの外見は、現在の安全なサイトと大きく異なるものではないが、Webブラウザに小さな「ロック」アイコンが表示されるという点に特徴がある。

　IEでEV SSL標準をサポートするWebサイトにアクセスすると、ロック・アイコンが表示され、アドレス・バーが緑になる。また、Webサイトの所在国や認証機関もわかるようになっている。ディオリノス氏は、「サイトを運営しているのが信用できる企業かどうか確認できることに重要な意味がある」と強調する。

　Webサイトは、認証機関に料金を払ってEV SSL証明書の交付を受ける。認証機関は、Webサイトを運営する企業の記録書類を審査し、この企業が地方自治体に登録し、正規の住所を持ち、該当するWebドメインをきちんと管理していることなどを確認する。場合によっては、認証機関が担当者を派遣し、企業の実態が申請どおりかどうかを確認する作業も行われるという。

　ベリサイン事業部門の製品マネジャー、ティム・キャラン氏は、「信頼できる記録書類がなければ、審査が通らない。しかし、法人やきちんと登録された慈善団体であれば、何も心配する必要はない」と語っている。

　ベリサインは、昨年12月11日からEV SSL証明書の交付申請を受け付けている。キャラン氏によると、現在300を超える企業が認証プロセスに入っており、すでにおよそ20件の証明書が交付されているという。

　フィッシングのターゲットになったことのあるWebサイトは、EV SSLに高い関心を寄せている。ウェルズ・ファーゴは、EV SSL標準の開発に協力しており、イーベイのペイパル部門も最近、history.paypal.comとav.paypal.comでEV SSL証明書を使い始めた。

　しかしEV SSLには、未解決の問題も残っている。その1つは、これまでフィッシング詐欺のターゲットになったことのない小さなサイトがわざわざお金を払って証明書を申請するかどうかわからないということ。また、各国語文字への対応や、異なる国に同じ名称の企業が存在する場合の対策など、Webブラウザ・メーカーの側で解決できていない技術的な問題もある。

　モジラのセキュリティ戦略責任者ウィンドウ・スナイダー氏は、「未解決の問題が数多く残されている」としたうえで、これらの問題に対処できるようになるのを待ち、年内リリース予定のFirefoxバージョン3.0でEV SSLをサポートするとの見通しを示した。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)

---

---

▲ページの先頭へ戻る

---