　IE開発者であるビシュ・グプタ氏は12月19日付のブログの投稿で、「IE 7ではAPI（Application Programming Interface）を使用して、ドメイン名をPunycodeに変換する」と記している。Punycodeは、DNS（Domain Name System）で認可されたフォーマットであるUnicodeのドメイン名をASCIIコードに変換したもの。

　グプタ氏によると、IE 6はPunycodeをサポートしておらず、一部のWebサイトはPunycodeで記述されたURLにリンクすることによって、この問題を回避しているという。IE 7では、Unicodeのドメイン名がPunycodeに変換された上で、ドメイン名が解決され、プロキシに送信される。

　ユーザーはコントロールパネル内の「International」と呼ばれる新しいコントロールを使ってIDN（国際化ドメイン名）機能をオフにすることができる。「その場合、IE 7はIE 6と同じように機能する」とグプタ氏は述べている。

　IDNの互換性は、非英語圏の人々にとってインターネットのアクセス性を拡大する一方で、偽装攻撃の可能性を増大させる恐れもある。「ホモグラフ（同形異義語）攻撃」では、Webサイトの名前に含まれているのと同様の文字を使用することによって正規のサイトを偽装し、異なるサイトにユーザーをおびき寄せようとする。例えば、アルファベットの「l」という文字の代わりに数字の「1」が使われていても、なかなか見分けがつかない。

　「IDNへの変換により、偽装可能な文字セットは数十文字から、全世界の言語で使われる何万文字へと増えるため、偽装攻撃の対象となる範囲が飛躍的に拡大する」とグプタ氏は指摘する。

　IDNに関するMicrosoftの情報シートによると、アルファベットの「a」の代わりにキリル文字の「a」を使った場合などのように、違いを認識することができないケースもある。これにより、ほかのサイトの名前を偽装することが可能になるという。

　「Punycodeを表示すれば、ほとんどの偽装を防ぐことができるが、この方法はユーザーフレンドリーではない」とグプタ氏は述べている。

　「IE 7では、ユーザーのブラウザの言語設定に基づいて、アドレスバーに表示できる文字が制限される。ユーザーが選択した言語にない文字がドメイン名に含まれる場合には、Punycodeでアドレスが表示される」（同氏）

　ドメイン名をUnicodeで表示することがIE 7によって禁止された場合、「情報バー」がユーザーに通知する。

　IE 7のもう1つの新機能が「フィッシングフィルタ」と呼ばれるもので、これは対象となるドメイン名が、報告されているフィッシングサイトでないかどうかチェックする、とグプタ氏は記している。このフィルタは、ドメイン名が紛らわしいものかどうか判断する機能もあり、紛らわしい場合はユーザーに警告する。

　IE 7の第1βは7月にリリースされた。Microsoftが今月明らかにしたところによると、プレリリースビルドのアップデートは2006年1～3月期に公開される予定だとしている。Microsoftでは、2006年末までに投入予定のWindows Vistaの前にIE 7をリリースする予定だ。

　グプタ氏のブログ記事は、こちらに掲載されている。