ページの先頭です
本文へジャンプする

Japan

ここから本文です
サイト内の現在位置を表示しています

ホーム > プレスリリース > 記事

携帯電話を用いてPCからのWebサイトアクセスの安全性を向上
~スパイウェアによる情報漏洩防止とフィッシング詐欺対策を実現~

2006年10月 2日
日本電気株式会社

NECはこのたび、インターネットショッピング・インターネットバンキングなど、利用時にユーザ認証を必要とするWebサイトへのPCからのアクセス時に携帯電話を用いることで、認証情報をPCに直接入力せずにWebサイトへのアクセスを可能にする技術を開発しました。

本技術では、PCからのWebサイトアクセス時に、Webサイトから受信した認証要求をPCから携帯電話へ送信し、PC経由で携帯電話とWebサイト間で認証を行います。認証情報をPCに直接入力しないため、キーロガーのようなスパイウェアによる認証情報の漏洩を防止することができます。また、認証時に携帯電話内でアクセス先が正規のWebサイトであることを確認するため、フィッシング詐欺を狙った偽装サイトへの誘導を防止することもできます。

近年、スパイウェアによるPC内の個人情報の漏洩や、正規のWebサイトを偽装したWebサイトへ誘導し、暗証番号やクレジットカード番号などを搾取して不正請求などを行うフィッシング詐欺が社会問題となっています。
従来、スパイウェアに対しては、対策ソフトウェアなどを使い、PC内をクリーンな状態に保つことで対応してきましたが、新しいスパイウェアに対策ソフトウェアが対応しきれない場合があり、完全な解決にはなりませんでした。また、フィッシング詐欺への対策としても、悪意のあるWebサイトの一覧をブラックリストとして持ち、そこへアクセスしようとすると警告を出すような対策ソフトの場合、リストにないWebサイトへのアクセスは防ぐことができませんでした。

このたびの開発は、これらの課題を克服し、より安全なWebサイトアクセスを実現可能にするもので、主な特長は以下の通りです。

(1) 携帯電話の認証情報を利用したWebサイトアクセスを実現
Webサイトからの認証情報の要求を携帯電話へ送信し、PC経由で携帯電話とWebサイト間で認証シーケンスを実行することにより、Webサイトへアクセスする技術を開発。これにより、PCへの認証情報の直接入力が不要となり、キーロガータイプなどのスパイウェアからの情報漏洩を防止。PCへの認証情報の直接入力がないため、画面キャプチャにより情報を収集し漏洩させるタイプのスパイウェアからの情報漏洩も防止。
 
(2) Webサイトの正当性検証に基づく安全なアクセスを実現
ユーザIDとパスワードといった認証情報を送信する前に、予め入手してある情報を元にWebサイトの正当性検証を携帯電話内で実施する技術を開発。これにより、偽装サイトへの誘導および認証情報送信を防止。
 
(3) ワンタイムパスワード()を用いた認証方式を採用
ワンタイムパスワードを利用し、パスワードの搾取を無効にすることでPC内部のメモリから情報を収集するタイプのスパイウェアに対しての安全性を向上。携帯電話でワンタイムパスワードを生成し、直接PCへ送信するため、一般的なワンタイムパスワード認証のような、生成器により生成したパスワードをPCへ入力する手間も不要。

なお、本技術では、Webサイトの検証に必要な情報を携帯キャリア網経由で取得することを想定しており、これにより安全性を確保しようとしています。これらのWebサイト情報をホワイトリスト方式で持つことができれば、新たに出現したフィッシングサイトへの誘導も防止することができます。この情報の提供方法、データ形式などは別途、携帯キャリアやWebサービス提供者との連携が必要となるため、今後検討を進めていきます。

NECは、本技術が安心・安全なインターネット社会の実現に貢献するものと考え、今後、早期の実用化を目指して研究開発を加速していきます。

以上

(注) ワンタイムパスワード:
認証のために1回しか使えない、「使い捨てパスワード」のこと。仮にパスワードを盗まれても、同じパスワードでは二度とアクセスできず、高いセキュリティ強度を持つ。

本件に関するお客様からのお問い合わせ先

NEC システム基盤ソフトウェア開発本部
電話:(03)5476-1097(直通)


このページに掲載されているプレスリリースその他の情報は、発表日現在の情報であり、時間の経過または様々な後発事象によって変更される可能性がありますので、あらかじめご了承ください。

本文ここまで
ページの終わりです
ページの先頭へ戻る