IDN表示偽装の問題、本当の原因は「レジストリ側の対応」

IDN対応のWebブラウザでURL表示が偽装されるという問題に関し、JPRSがその原因について解説する文書を公開した。

» 2005年02月09日 22時41分 公開
[高橋睦美,ITmedia]

 日本レジストリサービス(JPRS)は2月9日、複数のWebブラウザに国際化ドメイン名(IDN)の処理に関する問題が存在するという報道を受けて、解説の文書を公開した。

 この問題は、IDN(国際化ドメイン名)に対応したWebブラウザで、IDNを用いて英数字に非常によく似た文字を表示させることでユーザーの目をだませるため、フィッシング詐欺につながる恐れがあるというものだ。

 JPRSはこの問題は「ブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリの側」の対応にかかるものである、と指摘している(その意味で、当初の記事は正しくないものだったことをお詫びします)。

問題はレジストリ側の対応

 アクセス増加を試みるサイトの中には、名前をかたろうとするWebサイトとよく似たドメイン名を取得し、ユーザーの「勘違い」「錯覚」を招く、という手口を用いるものがある。「ITmedia」をかたるならば、「lTmedia」「1Tmedia」といった紛らわしい表記を用いて、それらしく見せかける手口だ。

 今回指摘された問題はその応用版だと言えそうだ。IDNを用いて、キリル文字などASCII文字によく似た文字を用いてURL表示をごまかし、ユーザーに目当てのサイトだと勘違いさせてフィッシングにつなげる。IDNによってASCII以外に利用できる言語が増え、組み合わせの範囲が拡大したことから悪用の可能性が指摘された。

 しかしJPRSによれば、この問題は「IDNの仕様策定のころから議論されてきたもの。解決策もあり、日本語ドメイン名ではそれに沿ってしっかり対策を行っている」という。

 具体的には、IDNを登録する際に、紛らわしい文字は同一のものとみなすようきちんと定義を行い、レジストリがそれに沿って登録を受け付けるよう規定した「JETガイドライン(RFC3743)」および「ICANNガイドライン」が定められている。今回の問題は、たまたまこのガイドラインに沿わない運用を行っていたレジストリがあったために浮上したものだという。

 大半のレジストリではこれらガイドラインに沿ってIDN登録を行っており、今回指摘された問題によってフィッシング詐欺につながる恐れは低い。英数字によく似た紛らわしい文字を混在させたドメイン名を登録しようとしても、登録の段階で排除されるため、不正なWebサイトを立ち上げて誘導することは困難だ。

 JPRSが登録を受け付けている「日本語JPドメイン名」の場合も、利用できる文字は漢字/仮名および英数字に限定。また全角英数字や半角カタカナが使用された場合には、いったん正規化処理を行いASCII英数字もしくは全角カタカナに統一し、同一の文字として扱うようにしている。このため、紛らわしい文字を用いたドメインが別のものとして登録されることはないという。

 JPRSはまた、URLを偽装してフィッシング詐欺を仕掛けるにしても、現実には脆弱性を悪用したり画像を用いるなど、より巧妙な手段が使われているとし、ユーザーの視覚的な錯覚を狙うこうした手法は「有効なフィッシング手段ではない」と指摘している。ただ、IDNによって錯誤を起こしやすい組み合わせが増えることも事実。自分がアクセス先には引き続き注意を払う必要があるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ