|
近年,フィッシング詐欺やキー
ロガーなどによるWeb上のサービスで使用される個人認証情報漏洩に関するトラブルが増加しています.これらは,たとえ広く普及しているPKIに基づいた
SSL/TLSなどによる暗号通信方式でも根本的には防げない問題であり,従来のキーボードを用いたユーザ名およびパスワードの入力による単純な個人認証
方式の限界を示すものと考えられます.
ICカードなどのハードウェアトークンを活用したネットワークサービスの個人認証方式は,安全性を高める手段として有効であるものの,トークンの管理や
デバイスドライバのインストール作業など導入コストが比較的高くなる傾向にあるため,一般利用者への普及は難しいのが現状です.その一方で,近年,個人が
所有する携帯電話をハードウェアトークンとした個人認証方式が研究されていますが,導入しやすいものでもWebブラウザ上に手入力で個人認証情報を送信す
るものが多く,キーロガーなどによって,その情報が外部に漏洩する可能性を持つものが多いと考えられます.特に,一般利用者は端末の管理が不十分になる傾
向性が高いため,その危険性は高くなります.
こうした状況の改善のために,提案プロジェクトでは,一般利用者でも容易に適用可能な比較的安全かつ簡便な個人認証方式として,携帯電話の2次元コード
リーダを活用した方式SUANを提案し,このシステムの各キャリアに対応した製品化,パッケージ化を目指します.この提案方式の利点は,一般利用者のPC
等の端末上に,特定のハードウェアやソフトウェアを必要としないため導入が容易であること,クレジットカード情報などをはじめ様々な個人情報の安全な伝達
方式への拡張性を持っていること等があげられます.
なお現状の提案方式は,man-in-the-middle攻撃型のフィッシングによる盗聴を防ぐことはできませんが,この対策手法についても検討をす
る予定です.
|
