産総研とヤフー、パスワードでサイトの真偽性を確認できるプロトコルを開発

独立行政法人 産業技術総合研究所（産総研）とヤフー株式会社は23日、フィッシング詐欺防止技術として、Web での利用に適したパスワード相互認証プロトコルを開発した、と発表した。

このプロトコルは、PAKE（Password Authenticated Key Exchange）と呼ばれる暗号・認証技術に改良を加え、Web の標準プロトコルである HTTP および HTTPS に適用したもの。ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することにより、フィッシングを防止する。

偽サイトで誤ってパスワードを入力しても、パスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもない。また、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応する。

産総研とヤフーは、これまでにプロトコル仕様の設計を終え、この技術を実装したサーバーモジュールとブラウザ拡張機能を試作している。また、今年度中に「Yahoo！ オークション」上での実証実験を行い、実際の運用に耐え得ることを検証するという。

さらに、Yahoo！ JAPAN サイトに、産総研情報セキュリティ研究センター監修によるユーザー向けの啓発コンテンツとして「Yahoo！ オークション 安全対策研究所」を制作し、順次公開していく。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール