先日、2016 年度のフィッシング対策協議会のガイドライン策定ワーキンググループにおいて、フィッシングの被害状況、フィッシングの攻撃サイドの技術・手法などをとりまとめたフィッシングレポート2017が公開されました。
このレポートでは2016年度のフィッシングの動向についての報告や考察が行われるとともに、「普及が進むユーザ認証の新しい潮流」というサブタイトルで、フィッシング対策としてのユーザ認証に関する新しい動向についても触れています。
詳しくはレポートをご覧いただければと思いますが、次のように書かれています。
「ID を必要とするサービスが増えていく中で、サイト利用者は、ID、パスワードの使い回しを行い、一方で、その ID、パスワードを管理するサイト側は安全管理の義務を怠っている。このような状況により、安全管理を怠っている脆弱なサイトから ID、パスワードが漏れることにより、きちんとした管理を行っている利用者にとって重要なサイトが大きな被害を受ける事件が増えている。」
そしてこの状況を打破するための一つの動向として「IDフェデレーション」のことが取り上げられています。
「IDフェデレーション」とは「ネットワークドメインをまたいだユーザIDを連携する仕組み」のことを言います。
言葉自体は知らなくても、SNSサービスやオンラインショッピングなどのサービス利用時に、下のような画面を見たことがある方は多いかと思います。
IDフェデレーションを導入しているサービスのログイン画面例
新たにアカウントを作るのではなく、すでに自分が持っているGoogle、Yahoo、Microsoft、Twitter、Facebookなどの他のサービスのアカウントを使ってログインできる仕組みがIDフェデレーションです。
このIDフェデレーションは、実は長所と短所がある諸刃の剣なのですが、そのあたりの解説はまた別の機会にしたいと思います。
「フィッシングレポート2017」の詳細はこちら
※フィッシング対策協議会サイト。レポート(PDFファイル)のダウンロードもできます。