※ 画像は公式サイトデモより

ネットが発達すれば発達するほど、セキュリティの問題点をついた詐欺や犯罪が出てくる。フィッシング詐欺はその典型とも言えるだろう。パスワードや銀行の口座番号等を気軽に入力していないだろうか。サイトが似ているからといって安心できるわけではない。注意深くチェックしなければならない。

デモサイトにアクセスした所。アドレスバーの横に認証フォームが表示される。

そこで新しい自己防衛手段が開発されている。それが以下に紹介する技術だ。

今回紹介するオープンソース・ソフトウェアはHTTP Mutualアクセス認証の実装を行うソフトウェアだ。

HTTP Mutualアクセス認証とはフィッシング攻撃に対する新しい認証プロトコルだ。サーバがユーザが正しいことを確認するのと同時に、ユーザもサーバが登録してあるパスワードを正しく保持しているか確認する。相互認証の形式をとっている。

認証後。ユーザ名が表示される。

具体的な仕様については公式サイトをみていただくこととして、提供されているソフトウェアはHTTP Mutualアクセス認証を実装したFirefox3（WIndows用）とサーバ側のモジュールだ（Apache用）。公式サイトからデモを使って試すことができる。

HTTP Mutualアクセス認証に対応したサイトを訪れると、アドレスバーの横にユーザID/パスワードを入れる欄が表示される。ここで正しいIDとパスワードを入力すると、情報が見られるようになる仕組みだ。

パスワードはPAKEと呼ばれる暗号化技術によって推測が困難なようになっているとのこと。開発にはヤフーも加わっているので、そこからアメリカそしてブラウザへとフィードバックされて標準搭載される可能性もないとは言い切れないだろう。

アドレスバーの横に認証が出るのは何とも不思議な感じではある。だが、これによってフィッシング詐欺に遭い、損害を受ける可能性が減るのであればぜひとも導入されて欲しい技術だ。

産総研 RCIS: フィッシング対策のためのHTTP相互認証プロトコル

　https://www.rcis.aist.go.jp/special/MutualAuth/index-ja.html