Internet Watch logo
記事検索
最新ニュース

国際化ドメイン名がフィッシングに悪用される問題〜Secuniaなどが指摘

Firefox、Opera、SafariなどIE以外の主要ブラウザでURLの“偽装”が可能

 デンマークのSecuniaは、FirefoxやOpera、SafariなどInternet Explorer以外の主要Webブラウザに、国際化ドメイン名(IDN)を悪用したURLスプーフィングなどの問題があると警告した。いずれも危険度は5段階中3番目の“Moderately critical”。

 IDNとは、ASCII文字列だけでなく各言語の文字で表記されるドメイン名のこと。IDNに対応したブラウザでは、複数言語で表記されたドメインにアクセスできるのが特徴だが、Secuniaの指摘によると、ASCII文字に似た文字を使ったURL、例えばPaypalのサイトを偽装した「http://www.paypаl.com/」(「а」がキリル文字)というURLにもアクセス可能で、フィッシングサイトなどに悪用される可能性があるという。アドレスバーだけでなく、SSL証明書やステータスバーに表示されたURLの偽装も可能だ。

 IDNは、Mozilla 1.7.x、Firefox 0.x/1.x、Netscape 7.x、Opera 7.x、Safari 1.x、Konqueror 3.x、OmniWeb 5.xといったブラウザでサポート。Secuniaでは検証用のページも用意している。なお、現在のところIEではIDNをサポートしていない。


Secuniaの検証ページにFirefoxでアクセスしたところ。アドレスバーを見ると、アルファベットの「a」の代わりにキリル文字の「а」が用いられているのがわかる

関連情報

URL
  検証ページ(英文)
  http://secunia.com/multiple_browsers_idn_spoofing_test/
  セキュリティアドバイザリ(Mozilla/Firefox/Camino、英文)
  http://secunia.com/advisories/14163/
  セキュリティアドバイザリ(Netscape、英文)
  http://secunia.com/advisories/14165/
  セキュリティアドバイザリ(Opera、英文)
  http://secunia.com/advisories/14154/
  セキュリティアドバイザリ(Safari、英文)
  http://secunia.com/advisories/14164/
  セキュリティアドバイザリ(Konqueror、英文)
  http://secunia.com/advisories/14162/
  セキュリティアドバイザリ(OmniWeb、英文)
  http://secunia.com/advisories/14166/

関連記事
登録開始から3年、日本語JPドメイン名は今……(2004/12/22)


( 鷹木 創 )
2005/02/08 14:33

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.