PayPalはEV SSL(Extended Validation Secure Socket Layer)の証明書の問題でAppleと角を突き合わせているが、AppleはPayPalのブラフを押し切るかも知れない。
Ryan Naraineによれば、PayPalはアンチフィッシング保護機能を持たないブラウザからのトランザクションをブロックすることを主張したホワイトペーパーをまもなく発表するという。このホワイトペーパーが、AppleにSafariにEV SSLを追加させようとする試みであることは明らかだ。
PayPalのこの試みは、最高情報セキュリティ責任者(Chief Information Security Officer:CISO)であるMichael Barrett氏の3月の発言に沿うものだ。
このホワイトペーパーの要旨は次のようなものだという。
ホワイトペーパーでは、フィッシングの蔓延を遅らせるための行動計画として5点を挙げており、Barrett氏は「(PayPalの顧客には)非常に古く脆弱なブラウザを使っている人たち」がおり、「安全でない」と分類されたあらゆるブラウザのアクセスが禁止されることを明らかにした。
「PayPalは、顧客がわれわれが安全でないと考えるブラウザからPayPalにログインした際に、まず警告を行うコントロールを再実装する過程にある。今後、われわれは顧客が安全でない、つまり通常は古いブラウザからのアクセスをブロックすることを計画している」と同氏は宣言した。
Ryanはまた、Barret氏を次のように引用している。
「われわれの見方では、ユーザーにそれらのブラウザでPayPalのサイトを閲覧させるのは、自動車メーカーがドライバーにシートベルトのついていない車を買わせるようなものだ。」(Barret氏)
では、この発言の動機はどこにあるのだろうか。フィッシングの巨大な標的になっているPayPalは、明らかによりよい守りを欲している。同社は明らかにEV SSLを欲しているが、Appleは動こうとしない。解決策は、大衆に訴えることだ。
しかし、果たしてAppleはこのやり方で圧力を感じるのだろうか?極めて考えにくい。PayPalはEV SSL証明書に拘っているようだが、Appleは他の方法でアンチフィッシングの要求を満たすことはできないのだろうか。Appleが危険なサイトのリストを作ったり、ページが怪しければユーザーに警告するのではいけないだろうか。AppleはどうしてもEV SSLに賛成しなくてはならないのだろうか。
一方で、PayPalが実際にSafariのアクセスを禁止するかどうかははっきりしない。PayPalはAppleのユーザーを困らせたくはない。また、iPhoneのトランザクションも止めたくはない。この膠着状態については、Appleの方に分があると私は思う。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ