デンマークのセキュリティ企業 Secunia は、2005年(平成17年)2月7日、Mozilla, Firefox, Opera, Netscape, SafariといったIE以外の主要Webブラウザーに、国際化ドメイン名の盲点をついたURL偽装の問題が存在することを公表しました。
国際化ドメイン名とは何か
国際化ドメイン名(IDN; International Domain Name)とは、半角英数字やハイフンだけでなく、ひらがなや漢字、ハングル文字といった多種多様な文字をインターネットドメイン名に利用できる仕組みのことです。
たとえば、IDNを活用すると、"ぱふぅ家.jp"というドメイン名の登録・利用が可能になります。
ただし、IDNのWebサイトにアクセスするには、Webブラウザー側の対応も必要で、2008年(平成20年)10月現在、Firefox, Opera, Netscape, SafariなどがIDNに対応しています。InternetExplorerはバージョン7でIDNに対応しています。
ただし、IDNのWebサイトにアクセスするには、Webブラウザー側の対応も必要で、2008年(平成20年)10月現在、Firefox, Opera, Netscape, SafariなどがIDNに対応しています。InternetExplorerはバージョン7でIDNに対応しています。
国際化ドメイン名の盲点とは
今回公表された問題点は、半角英数字と似ている別の文字を利用したドメイン名を取得し、半角英数字で構成されるURLの有名Webサイトなどになりすますというものです。
たとえばアルファベットの"a"とロシアのキリル文字"а"は非常に似ています。この画面でも、表示フォントによっては、ほとんど違いが分からないと思います。
このため、信頼できるWebサイトにアクセスしたつもりが、URLを偽装した悪意のあるWebサイトにアクセスしてしまう可能性があるのです。
実際、オンライン決裁サイトとして有名な"https://www.paypal.com"と1文字違うだけの"https://www.paypаl.com"は存在可能で、今はトラブルが起きないように Secunia が後者を予約しています。
しかし、他にも同じようなドメイン名はあります。今回の問題点は、そもそもレジストラが紛らわしいURLの登録を許しているのが問題だと Secunia は指摘しています。
なお、jpドメインに関しては、当初から、紛らわしいドメインが存在しないような対策を施しているので、今回のような偽装は発生しないと思われます。残念ながら、他国のレジストラの対応は、まだ見えていません。
たとえばアルファベットの"a"とロシアのキリル文字"а"は非常に似ています。この画面でも、表示フォントによっては、ほとんど違いが分からないと思います。
このため、信頼できるWebサイトにアクセスしたつもりが、URLを偽装した悪意のあるWebサイトにアクセスしてしまう可能性があるのです。
実際、オンライン決裁サイトとして有名な"https://www.paypal.com"と1文字違うだけの"https://www.paypаl.com"は存在可能で、今はトラブルが起きないように Secunia が後者を予約しています。
しかし、他にも同じようなドメイン名はあります。今回の問題点は、そもそもレジストラが紛らわしいURLの登録を許しているのが問題だと Secunia は指摘しています。
なお、jpドメインに関しては、当初から、紛らわしいドメインが存在しないような対策を施しているので、今回のような偽装は発生しないと思われます。残念ながら、他国のレジストラの対応は、まだ見えていません。
国際化ドメイン名の盲点をついたフィッシング詐欺の可能性
このような盲点をついたドメイン名については、SSLによる認証も独立して設定されてしまうので、"https:~"ではじまるURL偽装を行うことが可能になります。
SSLであるからと安心して個人情報やクレジットカード番号を入力すると、見事にフィッシング詐欺にかかるおそれがあります。当面の間、jpドメイン以外については、URLをエディタなどにコピー&ペースとして、正しい文字であることを確認してから利用するのが賢明といえそうです。
SSLであるからと安心して個人情報やクレジットカード番号を入力すると、見事にフィッシング詐欺にかかるおそれがあります。当面の間、jpドメイン以外については、URLをエディタなどにコピー&ペースとして、正しい文字であることを確認してから利用するのが賢明といえそうです。
Firefox 1.0.1で対応がなされる
Mozilla Japanは、2005年(平成17年)3月13日、オープンソースのWebブラウザ Firefox の最新版となる Firefox 1.0.1 日本語版を公開しました。
このバージョンでは、国際化ドメイン名の盲点をついたフィッシング詐欺への対応がはかられています。具体的には、デフォルトでアドレスバーでの表示にPunycode表記が用いられるようになり、キリル文字などの英数字と紛らわしい文字を使ったURL表示の詐称を行えないようにしています。
Windows版のほか、Mac OS X版、Linux版がそれぞれMozilla JapanのWebサイトよりダウンロードできます。
このバージョンでは、国際化ドメイン名の盲点をついたフィッシング詐欺への対応がはかられています。具体的には、デフォルトでアドレスバーでの表示にPunycode表記が用いられるようになり、キリル文字などの英数字と紛らわしい文字を使ったURL表示の詐称を行えないようにしています。
Windows版のほか、Mac OS X版、Linux版がそれぞれMozilla JapanのWebサイトよりダウンロードできます。
参考URL
- 国際化ドメイン名がフィッシングに悪用される問題~Secuniaなどが指摘(INTERNET Watch)
- Mozilla Products IDN Spoofing Security Issue(Secunia)
(この項おわり)