ニュース
2005/02/08 11:54 更新
国際化ドメイン名処理に起因する表示偽装の問題、OperaやFirefoxなどに影響
MozillaやFirefox、Opera、Safariなど複数のWebブラウザに、アドレスバーなどの偽造につながる問題が存在する。IDN(国際化ドメイン名)の処理に起因するものだ。
2月8日、MozillaやFirefox、Opera、Safariなど複数のWebブラウザに、IDN(国際化ドメイン名)の処理に関連する問題が存在することが明らかになった。悪用されれば、アドレスバーやステータスバーのドメイン名表示や電子証明書の表示を偽装され、フィッシング詐欺などにつながる恐れがある。
一般にドメイン名の表記にはASCII文字が利用されているが、IDNは、その表記に日本語や韓国語、中国語など、英数字以外の文字列を利用できるようにするための仕様だ。日本でも「日本語ドメイン名」として登録、運用が始まっている。
IDNで表記されたドメイン名は、その言語のままDNSサーバに問い合わせられるわけではない。いったん「Punycode」という規則にしたがってASCII文字列に変換され、「www.xn--(符号化されたASCII文字列).jp」という形に直した上で問い合わせが行われる。このたび指摘された問題は、その変換処理に起因するものだ。
具体的には、リンク先として「http://www.paypаl.com/」のような文字列を仕掛けておく。問題のある(=IDN対応の)ブラウザでこのリンクをクリックすると、Punycode変換の結果「http://www.xn--pypal-4ve.com」というまったく異なるWebサイトにアクセスするにも関わらず、アドレスバーには「http://www.paypаl.com/」と表記されてしまう。ジャンプ前にマウスを当該URLにかざした場合も、ステータスバーには「http://www.paypаl.com/」と表示される。2つめの「a」はキリル文字で、このようにアルファベットと似たような文字を表示させてユーザーの目をごまかそうとする手口だ。
発見者によるとこの問題が存在するのは、Mozilla 1.6、Firefox 1.0やCamino0.8.5といったMozillaベースのWebブラウザのほか、Safari 1.2.5、Opera 7.54、Omniweb 5など。IDNをデフォルトでサポートしないことから、Internet Explorerにはこの問題は存在しない。
この問題は、偽装Webサイトを用いたフィッシング詐欺に悪用される可能性があるが、今のところパッチなどの解決策は存在しない。IDNを無効にするほか、不審なリンクを安易にクリックせず、重要な処理を行う際にはURLを手で入力してアクセスするといった自衛策で身を守るべきとSecuniaは警告している。
[ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
経営危機を回避したガースナー元CEOの手法
どこまで取り組む? 自社のクラウド化![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_05_1267529673.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
膨大な情報量の中から「サンプル・コード」
世界“110カ国”が採用、「日本も」適用へ
コスト削減目標の達成率“約120%”を実現
400台以上のグループ内サーバを統合管理!
「紙とは何か?」――開発責任者は考え抜き
一気に解説! 最新のクラスタストレージ
仮想環境の構築とデータ保護の特効薬?!
「Tomcat」や「JBoss」などAPサーバ環境の
仮想化すればコストは削減できるか?
「メール見てない」と言われないために――
運用管理の課題を“2つの観点”から分析
『クラウド』の国内外キーパーソンが集結
すぐできる“ものづくり”のIT徹底活用!
クラウドがもたらす本当のメリット:日本のクラウド市場の現状とクラウドの価値へのフォーカス
点検 ストレスなきデジタル情報整理術:「残業ゼロ」に向けて社員の能力を引き出す方法――元トリンプ社長の吉越氏
戦略コンサルタントの視点:無料化するクラウド、潜む落とし穴
ITmedia リサーチインタラクティブ 第5回調査:Google Appsへの期待が鮮明に――変わる企業の情報共有基盤
ドジっ娘リーダー奮闘記:年上の男の子