セキュリティベンダー会社 Secunia は、Mozilla, Firefox, Opera, Netscape, SafariといったIE以外の主要Webブラウザーに、国際化ドメイン名の盲点をついたURL偽装の問題が存在することを公表しました。
国際化ドメイン名とは何か
国際化ドメイン名(IDN; International Domain Name)とは、半角英数字やハイフンだけでなく、ひらがなや漢字、ハングル文字といった多種多様な文字をインターネットドメイン名に利用できる仕組みのことです。
たとえば、IDNを活用すると、"ぱふぅ家.jp"というドメイン名の登録・利用が可能になります。
ただし、IDNのWebサイトにアクセスするには、Webブラウザー側の対応も必要で、現在Mozilla, Firefox, Opera, Netscape, SafariなどがIDNに対応しています。IEはIDNに未対応です。
国際化ドメイン名の盲点とは
今回公表された問題点は、半角英数字と似ている別の文字を利用したドメイン名を取得し、半角英数字で構成されるURLの有名Webサイトなどになりすますというものです。たとえばアルファベットの"a"とロシアのキリル文字"а"は非常に似ているため、信頼できるWebサイトにアクセスしたつもりが、URLを偽装した悪意のあるWebサイトにアクセスしてしまう可能性があります。
実際、オンライン決裁サイトとして有名な"http://www.paypal.com"と1文字違うだけの"http://www.paypаl.com"は存在可能で、今はトラブルが起きないように Secunia が後者を予約しています。しかし、他にも同じようなドメイン名はあります。
今回の問題点は、そもそもレジストラが紛らわしいURLの登録を許しているのが問題だと Secunia は指摘しています。
なお、jpドメインに関しては、当初から、紛らわしいドメインが存在しないような対策を施しているので、今回のような偽装は発生しないと思われます。残念ながら、他国のレジストラの対応は、まだ見えていません。
国際化ドメイン名の盲点をついたフィッシング詐欺の可能性
このような盲点をついたドメイン名については、SSLによる認証も独立して設定されてしまうので、"https:〜"ではじまるURL偽装を行うことが可能になります。SSLであるからと安心して個人情報やクレジットカード番号を入力すると、見事にフィッシング詐欺にかかるおそれがあります。
当面の間、jpドメイン以外については、URLをエディタなどにコピー&ペースとして、正しい文字であることを確認してから利用するのが賢明といえそうです。
Firefox 1.0.1で対応がなされる
Mozilla Japanは2005年3月13日、オープンソースのWebブラウザ Firefox の最新版となる Firefox 1.0.1 日本語版を公開しました。
このバージョンでは、国際化ドメイン名の盲点をついたフィッシング詐欺への対応がはかられています。具体的には、デフォルトでアドレスバーでの表示にPunycode表記が用いられるようになり、キリル文字などの英数字と紛らわしい文字を使ったURL表示の詐称を行えないようにしています。
Windows版のほか、Mac OS X版、Linux版がそれぞれMozilla JapanのWebサイトよりダウンロードできます。
参考URL
| 2005年03月17日更新 | ||
| <<前へ | <目次> | 次へ>> |
| 戻る | 【関連ページ】 | |