Security&Trust トレンド解説

フィッシング詐欺対策として企業が負うべき責任
〜電子署名はフィッシング詐欺対策の切り札となるか

岡田大助
2004/12/28


 「電子署名がないメール=いかがわしいメール」となるか

 武富士が導入したのは、日本ベリサインが提供する「マネージドPKIサービス」だ。プレスリリースによれば、同サービスを導入し「電子メールを使用する全社員・スタッフに対して配布する電子証明者を発行する認証局の構築」を行うという。これにより、武富士から顧客(一般ユーザー)へ送信されるメールすべてに電子署名が添付される。ユーザーがS/MIMEに対応したメールソフトを利用していれば、電子署名の検証を行って送信者の身元を確認できるようになる。

今回武富士が導入したソリューション

(1) エンドユーザーが証明書の申請を行う(最初の1回のみ)
(2) 認証管理者が電子署名を発行
(3) 電子署名が発行されたことを通知
(4) 証明書を送付

以降、エンドユーザーは通常のメール作成・送信とまったく同じ作業をするだけで、自動的に電子署名が添付されたメールを送信できるようになる

 武富士によれば、金融機関がユーザーに送るメールすべてに電子署名を付けるのは初めての試みだという。なお、日本ベリサインでも「不特定多数に送信するメールすべてに電子署名を施したのは初めてのケースではないか」とのことだった。

 現時点において、武富士の名前をかたったフィッシング詐欺メールの存在は確認されていない。金融機関の一角を担う者として、フィッシング詐欺に対してどのような現状分析を行っていたのだろうか。

 高瀬氏によれば、フィッシング詐欺以前の問題として、ダイレクトメールやちらしによる詐欺行為が横行しているという。武富士といえば、テレビCMの武富士ダンサーズが有名だが、彼女たちをモチーフにした「ご融資特待案内」が届けば、受取人は武富士のサービスだと勘違いするだろう。

 情報システム部は、武富士の公開メールアドレスに届くスパムメールの処理も担当している。高瀬氏は、このスパムメールの中に武富士のドメインをかたった「出会い系勧誘メール」があるのに気付いた。同氏は「もし武富士の名前をかたった金融詐欺メールが出回ったら、お客さまに多大な迷惑を掛けてしまう。何らかの対策を施しておかないと、社会的な責任をまっとうできない」と確信したという。

 武富士が先鞭をつけた電子署名の有効性が証明されれば、ほかの金融機関も追従するだろう。「近い将来、金融機関の発信するメールの中で、電子署名の付いていないメールがあれば、すなわちいかがわしいメールだとユーザーが認識する社会ができるのではないか」と高瀬氏は予測している。

 電子署名導入は本当にコストが掛かるのか

 電子署名のフィッシング詐欺への有効性は指摘されていたものの、なかなか導入が進まなかった理由に、「コスト」の問題があるのではないか。認証局を自前で用意すれば、新たな機材やスタッフをそろえなければいけない。金額だけでなく労力に見合うだけの効果が得られるかどうかも経営陣にしてみれば重要な判断材料だろう。

 武富士は今回、マネージドPKIサービスというアウトソースサービスを採用した。井上氏によれば、比較対象との決定的な違いはベリサイン側でシステムを構築してくれるという点だった。比較対象となったPKIサービスでは、電子証明書の発行数が武富士の必要数に満たず、なおかつ認証局を自前で構築する必要があったという。金額的に比較すると、両者にそれほどの差は見られず、むしろ「総合的に判断すれば、アウトソースした方が割安になる」(高瀬氏)という。

 日本ベリサインでも、「証明書の発行枚数が1年当たり100枚以下であれば、自前で認証局を用意しても運用できる。しかし、100枚以上を扱うのであれば、アウトソースした方が総合的にコストは安くなるはず」と試算している。マネージドPKIサービスの場合、電子署名を何枚発行するかによってライセンス料が変わってくる。発行枚数100枚で年間120万円程度。数百万枚規模の認証局を運用することも可能で、総発行数が増えれば1枚当たりの金額も下がるようになっている。

 また導入のスピードも速かった。公表できないが数カ月(ただし半年未満)で見積もりから稼働にこぎつけた。フィッシング詐欺はまさにいま問題になっており、対策をするうえで時間との勝負という側面があるのは間違いない。

 余談だが、ベリサインというブランド力も導入の決め手だった。武富士などに代表される金融機関の顧客は一般消費者だ。IT業界に詳しいユーザーなら、ほかの認証サービス事業者の名前を挙げても「聞いたことがあるな」と思うだろう。しかし、一般消費者ではそうはいかない。最近ではデザインが変わってしまったが、オンラインショッピングサイトに燦然(さんぜん)と輝いていたベリサインの金色のセキュアサイトシールには見覚えが多いはずだ。

 実際に武富士からユーザーへ送られるメールは、本社の社員から送信されるメール、お客さま窓口に寄せられる質問メールへの回答、およびインターネット経由での申し込みに対する自動回答メールの3種類だ(メールマガジンは発行していない)。武富士は全国に500以上の営業店舗を展開しているが、そこからメールを送信することはないという。また、「返済期日が過ぎているので、至急以下の口座に入金しなさい」といった催告メールも一切送っていない。

 井上氏は、「フィッシング詐欺は、ウイルスと同様に蔓延(まんえん)しないと、一般消費者は対策をしないのではないか。今後、フィッシング詐欺がウイルスと同じレベルまでいくのは間違いないだろう。しかもウイルスと違い、金銭的な損害が発生する可能性が高い。だからこそ、いまから対応策を準備しておかなければならない」とコメントする。

2/3


Index
フィッシング詐欺対策として企業が負うべき責任
  Page1
日本語のフィッシング詐欺メール登場
企業がすべき努力、ユーザーが背負うリスク
Page2
「電子署名がないメール=いかがわしいメール」となるか
電子署名導入は本当にコストが掛かるのか
  Page3
課題は山積みだが、第一歩を評価したい
フィッシング詐欺対策として電子署名が受け入れられるか


関連記事
いまさらフィッシング詐欺にだまされないために
S/MIMEでセキュアな電子メール環境をつくる!

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間