Yahoo!のログインシール
久しぶりにYahoo!にログインしてみたところ、ログインシールというフィッシング対策の機能が実装されていた。そういえば、そんなニュースも流れていたことに気づいた。
ヤフーは3月26日、フィッシング対策の新機能「ログインシール」をYahoo!JAPANの各サービスへのログイン画面に追加した。あらかじめ目印となる画像や文字列を指定しておき、ログイン時に表示させる仕組みで、目印が表示されなければ、フィッシングサイトと分かる。
ログインの際に自分が設定した画像や文字列が表示されることで、フィッシングサイトでないことがわかるという仕組みだ。実際に設定してみたが、確かに簡単に設定できるし、フィッシング対策にもなるだろう。
だが、これは使うPCごと、もっと言うとブラウザごとに設定が必要だ。実際、Firefoxで設定したみた後にIEでアクセスしてみたら、設定したログインシールは表示されなかった。これはログインシールがCookieを使っているためだ。個人ごとに設定が必要にもかかわらず、ログイン前に表示することが求められるため、Cookieを使うしか方法がなかったのだろう。
ログインシールはCookieで設定しているため、登録したPC/ブラウザ以外では表示されず、Cookieを削除した場合も表示されなくなる。同社は、複数のPC/ブラウザを利用する際は、それぞれでログインシールを設定するよう呼びかけている。
これでは外出先などで一時的に利用したPCからのアクセスには使えない。Yahoo!のログインはYahoo!メールの利用のためだけではないとはいえ、ウェブメールの利点である出先のPCなど、どんなPCからでもアクセスするという典型的な使われ方に対応できないのは残念だ。
しかし、Cookieを利用せずに、ユーザー名を入力しただけで、ログインシールを表示してしまうようにすると、フィッシングサイトにその情報を盗まれてしまうので、本末転倒だ。
やはり簡易なクライアント認証の方法が必要か。そういえば、Yahoo!は産総研と次のような研究も行っているようだ。
手軽な双方向認証技術、ヤフーと産総研がフィッシング対策で開発(ITmedia)
これは次のようにパスワードがネットワーク上を流れるのではないため、最初にフィッシングサイトにアクセスしてしまった場合でも問題はないらしい。
具体的には、あらかじめ登録(交換)しておいたパスワードに、乱数を用いて加工を加えた秘密の情報を交換し、相互に認証を行う。正しいパスワードを入力したにもかかわらず認証に失敗した場合には、フィッシングサイトであると判断する仕組みだ。パスワードそのものを送信するわけではないため、偽サイトとやり取りした場合でもパスワードが詐取される恐れはない。
スラドにも書かれていたが、CHAPじゃだめなのかとも思った。ブラウザ側にも実装が必要なようだから、標準化とマイクロソフト(IE)との協力が鍵かとも思う。もっとも、Yahoo!の利用者全員にYahoo!ツールバーの実装を期待するのなら、また話は別かもしれないが。
