デンマークのセキュリティベンダーであるSecuniaなどが、国際化ドメイン名(IDN)に対応した複数のWebブラウザにおいて、URLを“偽装”できる問題があると指摘していることについて、JPドメイン名を管理する日本レジストリサービス(JPRS)が9日、「JPは対策済み」などとする文書を発表した。
問題となっているのは、英数字と見た目がよく似ているラテン文字などを使ったIDNによって、ブラウザに表示されるURLを“偽装”できるという現象。Secuniaでは例としてキリル文字の「а」を使った「http://www.paypаl.com/」というURLを紹介している。すなわち、何者かが「paypаl.com」というIDNを登録することで、PayPalを装ったフィッシングサイトを開設できるわけだ。
アクセスしているサイトが本当にそういったドメイン名であるため、正確にはURL表示の偽装とは言えないが、逆にアドレスバーだけでなくSSL証明書やステータスバーまで“偽装”できてしまうことになる。OSやブラウザの表示フォントによっては、「а」と「a」がほとんど区別できない場合もあるだろう。
この現象は、Netscape 7.x、Mozilla 1.7.x、Firefox 0.x/1.x、Opera 7.x、Safari 1.xなど、IDNに対応している複数のブラウザで発生する。また、ネイティブではIDNに対応していないInternet Explorerでも、「i-Nav」や「JWord」などのIDN対応プラグインが入っていれば同様に発生する。Secuniaでは危険度を5段階中の3番目にあたる“Moderately critical”と評価しており、これを受けてブラウザの“脆弱性”として報道される例も見受けられた。
これについてJPRSは「国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について」という文書の中で、今回の“脆弱性”の本質について「ブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリの側がどれだけきちんとした対応を行なうかという問題である」と指摘。すでにこういった問題を抑制するために、登録を受け付ける文字集合や言語、異体文字(同一とみなす文字)などをレジストリ側でドメインごとに定義するよう求めたRFCやICANNのガイドラインがあると説明している。
つまり上記の例で言えば、キリル文字の「а」を英数字の「a」と同一とみなすという登録ルールをレジストリ側が規定していれば問題は回避可能であり、「現在、IDNをサービスしているレジストリのほとんどは、このガイドラインに従って登録サービスを行なっている、もしくは従うことを計画中」だという。特にJPRSにおいては、日本語ドメイン名として使用できる文字を漢字、仮名、英数字に限定しており、今回の例のようにキリル文字を混在させたドメイン名は登録できない。また、全角英数字や半角カタカナも、それぞれ半角英数字や全角カタカナに統一されるため、半角・全角の違いで紛らわしいドメイン名を登録されることはないとしている。
とはいえ、JPRSも言及しているように、視覚的にドメイン名を錯覚させる手法はIDNに限ったものではない。英数字でも「1」と「l」、「0」と「O」を置き換えた“偽装”は可能だ。さらに使える文字の種類が多い日本語ドメイン名では、悪用できるパターンが一気に増えることになる。使用可能な文字の範囲内でも、例えばインプレスを装った「イソプレス.jp」というドメイン名でサイトを開設することは実際のところ可能だ。JPドメイン名といえども、IDNの“脆弱性”に対してユーザー側で注意するに超したことはない。
なお、偽サイトを開設するにあたってドメイン名を実際に登録する必要がある今回の手法では、フィッシングを企てる者にとってはそれだけリスクが増えることになる。他にもブラウザやWebサイトの技術的な脆弱性を突いてURLを偽装したり、隠蔽できる手法も存在することから、JPRSでは「視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではない」と指摘している。
関連情報
■URL
国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について
http://XN--WGV71A119E.jp/access/phishing.html
■関連記事
・ 国際化ドメイン名がフィッシングに悪用される問題~Secuniaなどが指摘(2005/02/08)
( 永沢 茂 )
2005/02/09 20:52
- ページの先頭へ-
|