国際化ドメイン名(IDN)を悪用してURLを“偽装”できる問題について、「Firefox」「Mozilla」などのWebブラウザが次回リリースでIDN機能を無効化する意向を示していたが、URLの表示方法を変更することによりIDN機能は有効のままでのリリースを検討していることが明らかになった。mozilla.orgのスタッフであるGervase Markham氏が17日、自身のブログの中で方針を示した。
この問題は、英数字と似たラテン文字などを使ったIDNによって、Webブラウザに表示されるURLを“偽装”できるというもの。セキュリティベンダーのSecuniaでは、キリル文字の「а」を使った「http://www.paypаl.com/」といったURLで、PayPalを装ったフィッシングサイトが開設できる例を紹介していた。
この問題を回避するため、次回リリース予定のFirefox 1.0.1とMozilla 1.8 betaでは、IDN機能を無効化する方針を示していた。これに対して、新たに公表されたパッチでは、IDNを用いたドメイン名については英数字にエンコードした「Punycode」で表示する方法が示された。これにより、前述の「www.paypаl.com」にアクセスした場合には、Webブラウザ上では「www.xn--paypl-7ve.com」と表示されることになり、IDN機能を無効化せずにフィッシング問題を回避できるとしている。
Markham氏は、このパッチについて短期的な措置としながらも、次回リリースでは標準で組み込んでいく方向としている。
関連情報
■URL
Gervase Markham氏のブログ(英文)
http://weblogs.mozillazine.org/gerv/archives/007586.html
■関連記事
・ FirefoxとMozillaの次回リリース版ではIDN機能を無効化(2005/02/15)
・ IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題~JPRS(2005/02/09)
・ 国際化ドメイン名がフィッシングに悪用される問題~Secuniaなどが指摘(2005/02/08)
( 三柳英樹 )
2005/02/21 13:44
- ページの先頭へ-
|