IDN によるフィッシング詐欺の危険性

2005年2月8日(火) 21時19分 by level
B ?

www.paypal.com

いまいちぱっとしない 国際化ドメイン名(IDN) ですが、IDN に対応したブラウザでフィッシング詐欺に悪用される危険性が指摘されています。

今回の問題の肝は、アルファベットの 'a' の代わりにキリル文字の 'а' を使うなど、信頼されているサイトのURLに使われている文字に字形の似た別の文字を使うことで、アドレスバーなどのURL表示を信頼されているサイトのURLのように見せかけることができるという点。

ちょっと考えればすぐに思いつくことですね。かなり前から指摘されています。

「Mozilla Foundationは、この問題に対する長期的な解決策を探している」ということですが、ぱっと思いつくところでは、(1) アドレスバー上で IDN は色を変える(アスキー以外の文字は色を変える)、さらに、(2) フィッシングに狙われるような重要なサイトには IDN を用いない、あたりでしょうか。後者は IDN に死刑宣告しているのと同じですが、まあ、個人的には IDN の有用性ってあまり感じていません。むしろパス名やファイル名に日本語の使える 国際化 URI のほうが役に立ちそう。

えむもじら的には、IDN にいまだ対応していない IE を除く、主要ブラウザが件並み対象となっているところが突っ込みどころですね。(IE でも日本語ドメイン名プラグインを入れていれば別)

2/9更新

冒頭のスクリーンショットを見る限りぱっと見てすぐ見分けが付くので、IDN そのものがそれほど普及していない現状そんなに大騒ぎするほどのことでもないじゃないかと思っていたのですが、セキュリティホール memo にある英語版 Windows XP でのスクリーンショットを見ると ASCII の場合とまったく見分けが付かないですね(日本語環境でもフォントによっては見分けが困難なケースがあるかも)。ということは英語圏の人にとっては差し迫った問題。向こうで騒いでいるのが納得できました。

2/9更新(2)

今回の“脆弱性”の本質について「ブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリの側がどれだけきちんとした対応を行なうかという問題である」と指摘。すでにこういった問題を抑制するために、登録を受け付ける文字集合や言語、異体文字(同一とみなす文字)などをレジストリ側でドメインごとに定義するよう求めたRFCやICANNのガイドラインがあると説明している。

2/16更新




  ∧_∧  カタカタ   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 (    )  ∧ ∧ < なになに、IE以外のブラウザに脆弱性、、、
 (    )  (,,゚Д゚)  \____________
 ̄ ̄ ̄ ̄ ̄ (つ_つ____
 ̄ ̄ ̄日∇ ̄\|microsoft|\
        ̄   =======  \

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| ほう、IDNを悪用したフィッシング詐欺の危険性ですか…

   ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ∧_∧       / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ( ・∀・)  ∧ ∧ < な、なんですか?あなた・・・
 (  ⊃ )  (゚Д゚;)  \____________
 ̄ ̄ ̄ ̄ ̄ (つ_つ____
 ̄ ̄ ̄日∇ ̄\|microsoft|\
        ̄   =======  \

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| 主要ブラウザ全滅ですか…もう、目も当てられませんね…

   ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ∧_∧       / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ( ・∀・)  ∧ ∧ < 今回は IEには影響は無し! IEのセキュリティも捨てたもんじゃ、、、
 (     )  (;゚Д゚)  \____________
 ̄ ̄ ̄ ̄ ̄ (つ_つ____
 ̄ ̄ ̄日∇ ̄\|microsoft|\
        ̄   =======  \

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| でも、IEはIDNそのものをサポートしていませんよね。

   ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ∧_∧       / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ( ・∀・)  ∧ ∧ < そ、それは、先見の明があったというか、、、
 (  ⊃ )  (゚Д゚;)  \____________
 ̄ ̄ ̄ ̄ ̄ (つ_つ____
 ̄ ̄ ̄日∇ ̄\|microsoft|\
        ̄   =======  \
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
アスキーアート は「ギコ猫と暗号技術入門」(結城浩)からのパクリ

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。