電子署名付きメール
こんにちは、丸山です。今日、東京は雪ですね・・・。さて、ちょっと気になる記事が@ITにありました。「フィッシング詐欺対策として企業が負うべき責任 ~電子署名はフィッシング詐欺対策の切り札となるか」です。
前から、フィッシング対策を考えていたのですが、
フィッシングをする場合、まず金融機関等を騙った電子メールで誘導するのが、現在のところ一般的なようです。例えば、CITIバンクのメールアカウントを騙った偽メールを、CITIバンクの口座保持者にメールを送り、偽のCITIバンクのサイトに誘導し、ID、パスワード、クレジットカード番号などを盗むという方法です。
そこで、電子メールの成りすましを防止するために、電子署名付きメールを送ろうというのが、今回の武富士さんのケースです。つまり、武富士さんから来る電子メールには、すべて電子署名がついていて、電子署名の内容を確認すれば武富士さんのメールであることがわかるというものです。
もちろんこれで、フィッシング対策が万全ではないことは事実ですが、第一歩という点では評価できますね。
電子署名はまだまだ一般の人にはなじみが薄いので、その意味とか、信頼性の確認の方法を啓発していかなければならないですね。
記事によると武富士さんでは、「難しいことをいってもなかなか理解してもらえないので、まず電子署名がついていることを認識してもらうことに重きをおいている」ようですが、本当は、電子署名が武富士さんからのものであることを確認しないといけませんね。これは、非常に重要な問題で、メーラ側でももっと簡単に、誰の署名かがわかるような表示方法を工夫してもらいたいですね。
そういう意味で、フィッシング対策の主体としては、メーラをやブラウザを作っているソフト会社というのもありますね。
====================
・フィッシング対策 メーラ・ブラウザ製作ソフト会社篇
[①電子署名の表示を解りやすくする]
1. クリック1回で、署名人、電子署名の発行者(認証局事業者)が解るようにする
2.期限切れ、失効している署名の場合は表示させる前には警告がでる(これはほとんどOKだと思うのですが)
====================
Comments