現在地 HOME > IT7 > 364.html ★阿修羅♪ |
|
Tweet |
(回答先: 「『国際化ドメイン名によるURL偽装』はレジストリが原因,ブラウザのせいではない」――JPRS【itpro】 投稿者 元SEのおじさん 日時 2005 年 2 月 10 日 19:16:16)
http://xn--wgv71a119e.jp/access/phishing.html
- 既に対策は存在し、.JPはサービス開始当初より対策済み -
2005年2月7日から8日にかけて、国際化ドメイン名(IDN)に起因するフィッシング詐欺脆弱性が発見されたとの報道がありました。しかしながら、その本質的な内容はブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリの側がどれだけきちんとした対応を行うかという問題であると言うことができます。ここでは、その内容を
* 問題の本質
* 報道されている問題に対する解決策は既に存在し、多くのレジストリでは適用されていること
* JPドメイン名ではサービス開始当初から適切に対策をしていること
という流れでご説明します。
なお、現実には、フィッシングでは誘導先のURIを偽装したり隠蔽したりするなど、もっと巧妙な手段が使われていることから、視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではないと考えます。
問題の本質
ドメイン名は、文字列です。使用可能な文字はIDNの導入により多くなり、それに従いドメイン名で使える文字の中に似た文字が増える可能性があります。「IDNの脆弱性」として今回報道されている問題は、悪意を持った不正サイト運用者がそれを利用し、一般利用者に似たドメイン名と見間違えさせるのが容易になることです。特に、今回の報道では、IDNで使用可能な「英数字に非常によく似た文字」をドメイン名に紛れ込ませ、IDN対応ブラウザを使用している場合に不正サイトに誘導できる例が指摘されています。
今回問題にされているフィッシング詐欺問題の本質は、視覚による錯覚を利用するというものであり、IDNによって新たに引き起こされるものではありません。たとえば、ASCIIドメイン名でも、1(イチ)とl(エル)、0(ゼロ)とO (オー)による錯覚は存在します。ただし、日本語ドメイン名ではよく似た「ー」(長音)と「一」(漢数字)が使えるようになるなど、IDNによってその組合せが増えることも事実です。
しかし、この問題はIDNの導入や標準化(RFC化)の過程で既に認識されており、IDN登録時の運用ルールで問題の発生を抑制する方式も検討され、 IETFからRFCとして発行されています。また、その運用ルールを適用する際の方針を示すレジストリへのガイドラインもICANNにより発行されています。つまり、解決策は用意されていますので、あとは各レジストリが、IDNの使いやすさとのバランスを考慮し、いつどういう対策をほどこすかにかかっています。
報道されている問題に対する解決策は既に存在します
前述の通りこの問題は既に認識されており、以下のガイドラインが発行されています。
JETガイドライン(RFC3743) (http://www.ietf.org/rfc/rfc3743.txt)
IDNの登録を受け付けるレジストリに対するガイドラインです。レジストリは 登録を受け付ける「言語」とその「言語」で登録可能な文字の集合を定義す ること、IDN登録時にそのドメイン名を「言語」と関連付け、不適切な文字 の登録を抑制するとともに、必要に応じてドメイン名内で同一とみなすべき 文字を定義することを、具体的な様式とアルゴリズムで規定しています
ICANNガイドライン(http://www.icann.org/general/idn-guidelines-20jun03.htm)
IDNの登録を受け付けるレジストリに対するガイドラインです。JETガイドライ ンを踏まえたうえで、IDNの標準に従うこと、登録可能な文字集合を定義す ること、IDNと言語を関連付けること、一つのIDNを複数の言語に関連付けな いことなどを規定しています。
IDN登録を行う各TLDは、これらガイドラインに則った登録ルールを採用することで、複数の言語で使用される文字が混在したドメイン名の登録を排除でき、錯覚を起こすドメイン名は激減します。また、報道で使用された"paypal.com" 内のキリル文字「a」がASCII文字「a」のvariant(同一とみなすべき文字)であると定義するようなルールをこれらガイドラインに従い規定しておけば、この問題も回避できます。
現在IDNをサービスしているレジストリのほとんどは、このガイドラインに従って登録サービスを行っている、もしくは、従うことを計画中です。よって、これらガイドラインに従ったIDNに対し、IDN対応ブラウザでアクセスすることにおいては、ここでいうフィッシング詐欺脆弱性は抑制されています。
JPドメイン名は対策済みです
JPドメイン名では、日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字など英数字に非常によく似た文字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。
また、全角英数字や半角カタカナが使用された場合でも、JPドメイン名の登録時に、技術標準に則った正規化と呼ばれる処理によりASCII英数字や全角カタカナに統一し、同一の文字として扱いますので、異なるドメイン名として登録されることはありません。IDNに対応したブラウザも同じ正規化を行いますので、全角・半角の違いによって異なるサイトにアクセスすることはありません。
さらに、一般に、アルファベットだけで書かれたドメイン名と日本語ドメイン名のどちらの方が日本人にとって錯覚が少ないかを考えると、日本語ドメイン名の方が錯覚が少ないものと考えます。
以上により、日本語JPドメイン名では、上述のような既存のドメイン名と視覚的に非常によく似たドメイン名を使用した不正サイトの存在は起こりにくくなっています。
これらの対応は、日本語JPドメイン名導入時点から実施されています。しかし、このような対応が実施されていないTLDでは、報道されている問題が起こりやすいということが言えます。これはブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリのポリシーの問題です。
例1:
example.com 登録可能 (すべてASCIIのアルファベット文字)
example.com 登録可能 (aに見える文字がキリル文字)
例2:
example.jp 登録可能 (すべてASCIIのアルファベット文字)
example.jp 登録不可能 (aに見える文字がキリル文字)
以上のように、IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。
(2005年2月9日掲載)