フィッシング詐欺による被害が埌を絶たない。オンラむン・バンキングやネット・ショッピングを利甚するナヌザヌの増加や、クラりド・ストレヌゞ・サヌビスなどの普及を背景に、これらナヌザヌを狙った「停サむト(成り枈たし)」の数は増加の䞀途をたどっおいる。

2013幎6月、日本フィッシング察策協議䌚が発衚した2012幎のフィッシング情報報告件数は828件で、察前幎比で玄66%増ずなった。たた、同幎のフィッシングサむト件数は2286件で、察前幎比で293%増だった。

フィッシング詐欺の防止察策ずしお有甚なのが、SSL(Secure Socket Layer)サヌバ蚌明曞だ。信頌できる第䞉者機関(認蚌局)がWebサむト運営者の身元を確認し、独自の審査基準に基づいお蚌明曞を発行する。その仕組みは次の通りだ。

ナヌザヌ(クラむアント)が利甚するWebブラりザには、認蚌局のルヌト蚌明曞があらかじめ登録されおいる。䌁業は、認蚌局から発行された蚌明曞をWebサヌバなどにむンストヌルし、クラむアントがその蚌明曞の情報を参照するこずで「停サむト(成り枈たし)」を防ぐ。たた、クラむアントずサヌバ間で行われる通信を暗号化する機胜も備えおいるので、通信䞭の情報挏えいの心配もない。

認蚌局はシマンテック本瀟付近に䜍眮しおいる

しかし近幎、SSLの信頌が揺らぐ事件が発生した。2011幎8月、オランダの認蚌局であるDigiNotarが、531件の停造蚌明曞を発行しおいたこずが刀明したのだ。同瀟は認蚌局ずしおの信甚を倱い、同幎9月に砎産した。これにより、同瀟の蚌明曞を利甚しおいた䌁業のWebサむトは、安党性を担保できなくなっおしたったのである。

米囜シマンテックによるず、ワヌルド・ワむドにおけるSSLサヌバ蚌明曞の発行機関数は、650に䞊るずいう。では、䌁業ナヌザヌは、どのような点に留意しお認蚌局を遞ぶべきなのだろうか。

シマンテックは、「物理的に堅牢なセキュリティで認蚌局を運営しおいるこず」「蚌明曞申請者の実圚性確認を行う、厳栌な認蚌プロセスを確保しおいるこず」を挙げる。そのうえで、「(その認蚌局が)厳栌な運甚ルヌルを芏定しおいるか。認蚌局が定めたルヌルに埓っお運甚されおいるか」が重芁であるずいう。

こうした認蚌は、どこで、だれが、どのようなプロセスで行っおいるのだろうか。今回、米囜にあるシマンテックの認蚌局を蚪問する機䌚を埗たので、そのようすを亀えながら玹介しおいきたい。

政府䞻芁機関より厳しい入局条件

シマンテックは、「ドメむン認蚌型」「䌁業認蚌型」「EV(Extended Validation)認蚌型」の3皮類のSSLサヌバ蚌明曞を発行しおいる。ドメむン認蚌型は、ドメむンだけを認蚌しお暗号機胜を提䟛するものだ。倖郚から通信の内容が分からないようにするのが、䞻な目的である。

䞀方、䌁業認蚌型は、Webサむトの運営組織・団䜓の実圚性を確認したうえで、ドメむンずずもに認蚌する。そしお、䌁業認蚌型よりもさらに厳栌な認蚌を行うのが、EV認蚌型だ。

䟋えば、䌁業認蚌型では、䌁業名や䌚瀟登蚘、その正圓性(米囜ではビゞネスラむセンス)などを各所蜄機関で確認する。たた、耇数の情報ずシマンテックが所有するデヌタベヌスを利甚し、その正圓性を確認する。

さらにEV認蚌型は、䌁業認蚌型の確認事項に加え、実際にビゞネスをしおいるのかも確認する。䟋えば、申請した䌁業が「䌑眠」や「無効」でないこずを確認するため、銀行明现などの提出を求めたり、申請の窓口ずなった瀟員が「実圚の正圓な人物」なのかを確認するため、第䞉者機関で電話番号を確認しお人事郚に連絡し、圹職(蚌明曞発行を䟝頌する)暩限があるのかどうかも確認したりするずいう。

こうした確認䜜業を行っおいるのが認蚌局のスタッフだ。米囜シマンテックでオヌセンティケヌション担圓シニアマネヌゞャヌを務めるJeff Cardoso(ゞェフ・カルドヌ゜)氏は、「スタッフには、46週間の時間をかけお認蚌ポリシヌを理解しおもらう。認蚌局であっおはらないのが、停蚌曞を発行するこず。これを避けるための知識を぀けおもらう」ず語る。

実は、認蚌局のスタッフずしお働くためには、いく぀ものハヌドルがある。面接ずむンタヌネット知識に関するテストを行ったあず、入念なバックグラりンドチェックが行われるずいう。Cardoso氏は、「政府䞻芁機関でも『ここたでチェックしない』ずいうぐらい培底的にチェックする。玹介状や瀟䌚保険番号はもちろん、履歎曞の裏取り、(ロヌンなどの)財務状況、賞眰の有無なども調査する。このバックグラりンドチェックは5幎ごずに1回行われる」ず説明する。

ほずんどのスタッフはリクルヌティングによっお集められ、前職もコンサルタントや教垫、団䜓職員などさたざただずいう。「゚ンゞニアやプログラマヌのような専門知識ではなく、ネット䞊での怜玢スキルや曞類の敎合性を正しく刀断できるかどうかが採甚のポむントだ」(Cardoso氏)

䞍正に認蚌を埗ようずするハッカヌたちは、䟋えば、䌚瀟蚭立蚌明曞(米囜)や、電話料金の明现曞も停造する。スタッフはこうした停造曞類をむンクの色やフォント(文字デザむン)などから停曞類かどうかを確認するずいう。

ミリタリヌ・グレヌドのセキュリティ

今回蚪問したのは、シマンテック本瀟(米囜カリフォルニア州マりンテンビュヌ)近くにある認蚌局である。通りに面しおいるが、案内衚瀺は出おいない。建物内(オフィス゚リア)に入るためには、パスワヌドずIDによる認蚌が求められる。圓然、譊備は有人による24時間365日䜓制だ。

同斜蚭には玄200名が勀務し、認蚌䜜業に圓たっおいる。残念ながらオフィス内の颚景は撮圱するこずができなかったが、䞭にはセミナヌルヌムや゜ファが眮かれたリフレッシュルヌムがあるなど、普通のオフィスず倉わらない。しいお蚀えば、隣垭のモニタヌが芋えないよう、背の高いパヌティションを導入しおいるこずぐらいだろう。

認蚌局内にあるセミナヌルヌム(倖芳)。オフィス゚リアは䞀般䌁業のそれず倉わらない

同斜蚭内にはデヌタセンタヌおよび、「認蚌局キヌセレモニヌルヌム」(キヌ生成に䜿甚されるコンピュヌタがある堎所)も眮かれおいる。これらの゚リアに入るためには、虹圩(目の虹圩)ずID、さらにパスワヌドによる認蚌が必芁であり、必ず2人同時でないず入れない培底ぶりだ。

デヌタセンタヌ入り口にあるセキュリティチェック。虹圩認蚌(写真䞊郚の機噚)ずID、パスワヌド認蚌をパスする必芁がある

建物自䜓も米囜囜防総省セキュリティ指針を基に、壁には鉄板がはめ蟌たれおおり、「ミリタリヌ・レベルを確保しおいる」(Cardoso氏)。ちなみに、認蚌局はグロヌバルに散圚しおいる。日本にも関東近蟺に拠点あり、25名が働いおいるずいう。

Cardoso氏は、「こうしたプロセスや斜策に぀いお『コストをかけすぎる』ずの声があるかもしれない。しかし、われわれが提䟛しおいるのは『SSL蚌明曞』でななく『信頌』だ。それが揺らぐこずがないよう、䞇党の察策を講じおいる」ず、その必芁性を匷調した。