高木浩光さんの日記の12月24日のエントリでPhishing対策についての良くまとまった記述が公開されました。IEの標準機能を使った対策が載っていて、参考になります。以前からの心配事が杞憂ではなかったらしいと分かり、ちょっと複雑。
さて、上記エントリの中で高木さんは、「phishing対策ビジネス会社に1千万円払って自分のサイトの証明書を登録してもらう」という大胆な案を出していますが、その方法では、まっとうな中小企業やベンチャーがインターネットを利用したサービスを始められなくなってしまいます。小企業に身をおくものとしてそれでは困るので、他の方法を考えてみます。高木さんの書いた
「お前には売らない」という判断基準を、どうやって設けるかという問題の答えを見つけるのは確かに非常に難しいです。しかし、がらっと視点を変えて「まっとうな企業ならまったく問題ないが、犯罪者にとってはリスクが高く、手間もかかる枠組みを作る」のなら何とかなりそうです。
もったいぶって書きましたが、手法的には非常に単純です。ずばり、「訪問による実在性確認」。
つまり、証明書の発行時には申請を受けた機関が、社員を依頼者の住所に赴かせて、会社の存在と役員級の人間の確認を行うだけです。その際、(指紋はさすがに嫌がられるかもしれないので)身分証明書のコピーと顔写真ぐらいは撮らせてもらいます。さらに、日付を固定しない、月1,2回の訪問も付ける。で、これらの経費を価格に上乗せしたとしても、年1千万よりははるかに安くサービスを提供できそうです。訪問回数と価格については検討の余地があるでしょうが、あくまでサンプルということで。これで、詐欺師は証明書を入手するために場所と人間を用意して、さらにそれを常に維持しなければならなくなります。銀行の引き落とし詐欺のように、無職の人を使うことも考えられますが、偽造身分証明書の手配とか、何より本人に対して訪問時に「もしあなたが詐欺に加担しているとしたら、顔写真も撮っていますので、少なくともあなたは確実に捕まりますよ」とやさしく言い聞かせればかなりの抑止力になることが期待されます。
運用面では、訪問員と監査役のサボりが課題となります。まず、訪問員のサボり対策としては、訪問時に必ず会社の様子を写真に取らせるようにする。監査役については、担当する訪問員を固定としない、かつ、常に過去3回分の訪問についてチェックさせ、(他の監査役のサボりも含む)異常の発見に対して報奨金を付ける。とか。
ベリサインあたりが、宅配業者(郵便局とかオンサイトサポート業者でも可)と提携すれば、すぐにでもサービスインできそうですが、現時点ではまだ市場が無いかな。
上で取り上げた問題については、専門家の間では少なくとも3年前には認識されていて、解決方法についても提案されていたのをご存知でしょうか。2年前のINTERNET WEEK 2003で「PKI 〜基礎と応用〜」というセッションを受講した際に、私は
ちょっと以外というか,驚いたのは認証局のAssurance Lebelとして,Rudimentaryと言う「身元確認のために要求はない」というクラスが存在していたこと.という書き込みをしました。この時、ありがたくも講師の松本さんからこの書き込みに対してのコメントをメールで頂きました。その中で、紹介していただいたのが、Internet week 2002における、以下の2枚のスライドです。
「証明書ポリシーとは何か」、「証明書ポリシとX.509v3証明書の証明書ポリシ拡張」
2枚目のスライドで紹介されている「証明書ポリシ拡張」が重要です。このスライドの右下にいる男性の吹き出しには
これは、高額な取引だから、High証明書の署名じゃなきゃだめ!!とあります。これに対してALICEさんが署名を受けた証明書は「OID = ABC.3」であるため、スライドにある状況では、男性は警告を受けるなどすることができるという仕組みとなるはずだったのだと思います。ところが、ここを読んでいらっしゃる方は身を持って知っていると思いますが、この拡張、結局実装されていません。松本さんも頂いたメールの中で受け入れポリシー OID = ABC.4
受け入れポリシは実装の問題もあり、なかなか理解されていません。と嘆いておられました。さらにその後には
「標準のTrusted CA List」に対して、ポリシ付きの信頼リストと、悲しい当時の現状が綴られていました。この拡張の必要性が理解され、ちゃんと実装されていれば、認証局の信頼性を保証する機関などというものはそもそも必要なく、現状は違っていたのでしょう。もしかすると、今が「証明書ポリシ拡張」と「受け入れポリシ」を復活させることにより、インターネットを正常な状態に戻す最後のチャンスなのかもしれません。
http://www.e-government.govt.nz/docs/see-pki-paper-4/chapter3.html (リンク切れ)
3.6 Policy Trust list model
なども提案されていますが、そもそも、認証局のAssurance Lebelの必要性自体が、ちゃんと認識されていません。
P.S.
2枚目のスライドを改めてじっくり見ると、非常に示唆に富んだ内容になっています。左側のHigh証明書の発行ポリシーが「本人確認の方法、対面で手渡す」となっていたり。前のエントリを書いたときには意識していませんでしたが、このスライドの内容が私の意識下に根付いていたんだと思います。