« NHK特集『フリーター漂流 モノ作りの現場で』 | トップページ | AceCombat05 TheUnsungWar »

2005.02.10

国際化ドメインがフィッシング悪用される危険性…

(2005/2/8)
なんか今更のセキュリティ指摘というか、最初から気付けよ、という話ですが。

INTERNET Watch:
国際化ドメイン名がフィッシングに悪用される問題?Secuniaなどが指摘
IT Pro
FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性

ドメインの表記多様性各国独自性のために「多言語ドメイン(国際化ドメイン名)」というのが作られて日本語をそのままURLにできるとかありますが、手を広げると面倒なことになりますよね、というニュース。
国際化ドメイン名が使えるのを悪用して、半角英字の一部分だけ英字でない文字〜欧州で使われるキリル文字とか〜に置き換えたドメインを取得すれば本家と誤解されるサイトを作れるわけです。スクリプトを駆使してURLを偽装するよりお手軽でフィッシングに最適?
通常の「a」とキリルの「a」はパッと見区別つきません。しかし全角の英字もまぎらわしくて、私はよく漢字IMEをオンにしたままアドレスを入力したりするのですが、アドレス欄では全角日本語は使えなくていいと思うのですがねぇ?
IEは使えないのですが、他社のは気を利かせて使えるようになっているらしいので、上記のような部分的に多言語化されたURLが通ってしまうので要注意、とのこと。

Lindowsとか裁判になっていましたが、裁判になるまえにドメイン申請された時点でまぎらわしい名前を審議すればいいのに、それはできないのでしょうか。
今回予告警告された国際化ドメイン名も、1文字だけ全角な英字ドメインなんて申請時点で「おかしい、ふざけている」とかチェックが入らないようでは、警告通り非常にまぎらわしいフィッシングサイトが登場するのでしょうね、きっと。こんな手を業者が見逃すはずはありませんから。

(2005/2/10補足)
レジストリサービス側が反論。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050209/155958/
少なくとも日本レジストリサービス(JPRS)は、
*登録ガイドラインを設け、事前にまぎらわしい名前をチェックしている
*英字は半角、カナは全角と正規化して登録してるため、半角全角の違いで互いに関係ないドメインに分かれず常に一意のドメインを指す
*この不具合はブラウザ側は悪くない、登録を担うレジストリサービスの運営の問題である
との声明を発表しました。ちゃんとわかってたようで。

(2005/3/1補足)
http://www.itmedia.co.jp/news/articles/0503/01/news017.html
Operaはこの問題に次期バージョンで対応するとか。上記jpレジストリサービスのように信頼できるところから情報を得てホワイトリストを持たせ、そこに無いURLは随時審議した上でホワイトリストに加えるとか。
うーむ、手間かけますね。しかしスパムメール業者アドレスのようにこういうのは目で判断するしかない?

|

« NHK特集『フリーター漂流 モノ作りの現場で』 | トップページ | AceCombat05 TheUnsungWar »

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3180/2851594

この記事へのトラックバック一覧です: 国際化ドメインがフィッシング悪用される危険性…:

« NHK特集『フリーター漂流 モノ作りの現場で』 | トップページ | AceCombat05 TheUnsungWar »