Internet Watch logo
記事検索
最新ニュース

FirefoxとMozillaの次回リリース版ではIDN機能を無効化

IDNを悪用したURLの“偽装”を防止するためにmozilla.orgが一時策

IDNの対応機能は、アドレスバーに「about:config」と入力して表示される設定画面から手動で無効化することも可能。「network.enableIDN」の項目をダブルクリックすると、デフォルトの「true」から「false」に変更される
 国際化ドメイン名(IDN)を悪用してURLを“偽装”できる問題が複数のブラウザにあると指摘されていることへの対応策として、次回リリースされる「Firefox 1.0.1」と「Mozilla 1.8 beta」ではIDNの対応機能が無効化される模様だ。mozilla.orgのスタッフであるGervase Markham氏が15日、自身のブログの中で方針を示した。

 この問題は、英数字と形がよく似ているラテン文字などを使ったIDNによって、ブラウザのアドレスバーやステータスバー、SSL証明書などの表示を“偽装”できるというもの。セキュリティベンダーのSecuniaでは、キリル文字の「а」を使った「http://www.paypаl.com/」というURLで、PayPalを装ったフィッシングサイトを開設できてしまう例を紹介していた。

 この問題を回避するため、Firefox 1.0.1とMozilla 1.8 betaでは、「network.enableIDN」の設定値が「無効」に変更される。これによりデフォルトの状態では、Unicodeで表わされた日本語などのドメイン名をそのままリンクやURL入力で扱うことができなくなる。ただし、IDN機能を無効にする代わりに、設定を「有効」に変更できる拡張プラグインを提供するという。

 ブラウザ側でこのような対策をとる一方でMarkham氏は、この問題はレジストリやレジストラ側の問題であると述べたOpera Software ASAの見解を支持すると表明。登録できる文字をドメインごとに限定することで不正な登録を防止することなどを求めたICANNのガイドラインを、レジストリやレジストラ実装することが必要だと指摘している。

 そうしたスタンスを示した上でMarkham氏は、Firefox 1.1以降でIDN機能を復活できるようになることを期待しているとし、「人々がFirefoxとMozillaに対してIDNのフル機能を望むのであれば、世界のレジストリやレジストラにプレッシャーをかけ、彼らがドメイン登録者とインターネットユーザーに対する義務をきちんと果たし、ICANNのガイドラインを実装するようにすることがベストな方法だ」とコメントしている。


関連情報

URL
  Gervase Markham氏のブログ(英文)
  http://weblogs.mozillazine.org/gerv/archives/007556.html

関連記事
国際化ドメイン名がフィッシングに悪用される問題〜Secuniaなどが指摘(2005/02/08)
IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題〜JPRS(2005/02/09)


( 永沢 茂 )
2005/02/15 21:43

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.