ITmedia NEWS >

国際化ドメイン名処理に起因する表示偽装の問題、OperaやFirefoxなどに影響

» 2005年02月08日 11時54分 公開
[ITmedia]

 2月8日、MozillaやFirefox、Opera、Safariなど複数のWebブラウザに、IDN(国際化ドメイン名)の処理に関連する問題が存在することが明らかになった。悪用されれば、アドレスバーやステータスバーのドメイン名表示や電子証明書の表示を偽装され、フィッシング詐欺などにつながる恐れがある。

 一般にドメイン名の表記にはASCII文字が利用されているが、IDNは、その表記に日本語や韓国語、中国語など、英数字以外の文字列を利用できるようにするための仕様だ。日本でも「日本語ドメイン名」として登録、運用が始まっている。

 IDNで表記されたドメイン名は、その言語のままDNSサーバに問い合わせられるわけではない。いったん「Punycode」という規則にしたがってASCII文字列に変換され、「www.xn--(符号化されたASCII文字列).jp」という形に直した上で問い合わせが行われる。このたび指摘された問題は、その変換処理に起因するものだ。

 具体的には、リンク先として「http://www.paypаl.com/」のような文字列を仕掛けておく。問題のある(=IDN対応の)ブラウザでこのリンクをクリックすると、Punycode変換の結果「http://www.xn--pypal-4ve.com」というまったく異なるWebサイトにアクセスするにも関わらず、アドレスバーには「http://www.paypаl.com/」と表記されてしまう。ジャンプ前にマウスを当該URLにかざした場合も、ステータスバーには「http://www.paypаl.com/」と表示される。2つめの「a」はキリル文字で、このようにアルファベットと似たような文字を表示させてユーザーの目をごまかそうとする手口だ。

 発見者によるとこの問題が存在するのは、Mozilla 1.6、Firefox 1.0やCamino0.8.5といったMozillaベースのWebブラウザのほか、Safari 1.2.5、Opera 7.54、Omniweb 5など。IDNをデフォルトでサポートしないことから、Internet Explorerにはこの問題は存在しない。

 この問題は、偽装Webサイトを用いたフィッシング詐欺に悪用される可能性があるが、今のところパッチなどの解決策は存在しない。IDNを無効にするほか、不審なリンクを安易にクリックせず、重要な処理を行う際にはURLを手で入力してアクセスするといった自衛策で身を守るべきとSecuniaは警告している。

Copyright © ITmedia, Inc. All Rights Reserved.