武富士がフィッシング詐欺対策として、S/MIMEメールを導入したとのこと。CA(認証局)には日本ベリサイン社の電子認証局構築サービス「ベリサイン マネージドPKIサービス」を採用ということなので、ほとんどのメーラでは余計なルートCAの信頼してインストールという手間(?)が必要ありません。
- [INTERNET Watch] 武富士、フィッシング詐欺対策として全社員のメールに電子署名を実装
- 武富士、フィッシング詐欺対策としてベリサインのPKIソリューションを採用 ―外部への電子署名付き電子メールでなりすましを防止―
...
メールを受け取った顧客はS/MIMEに対応したメールソフトを用いて電子署名の検証を行うことで発信元が正しく武富士の社員であることが確認できると共に、送信された内容が通信経路の途中で改ざんされていないことが検証できます。
また、全ての顧客宛のメールには電子署名が付与されていますので、顧客は電子署名が施されていないメールが送られてきた場合は、武富士社員の名を騙った「なりすましメール」であると判断することが容易で、第三者によるフィッシング詐欺による被害を軽減することが可能になります。
...
武富士が自身の社会的責任を重く見て、積極的にPKIシステムを導入する姿勢は非常にすばらしいと思います。
しかし、以前にも書きましたが、PKIシステムは一般の利用者には大変わかりにくいものです。具体的にどのようにして「武富士の社員であることが確認」すればいいのかまで書いてあればよかったと思います。
例えば、VeriSign社からClass1証明書を発行してもらって、詐欺メールを送ったらどうでしょうか。どうすれば、武富士の社員であることをチェックできるのでしょうか。(恐らく中間CAが武富士となっているかどうかまでチェックする必要がありそう。)
今後、このような形であっても、PKIが普及していくことに期待したいです。
