2005-02-09
_ Firefoxなどのブラウザにフィッシング詐欺の危険性
Japan.internet.comの記事によると,非営利セキュリティ技術者集団Shmoo Groupは,FirefoxなどのWebブラウザでフィッシング詐欺の被害にあう危険性を含む脆弱性があると発表したようです.この問題はIDN - International Domain Name(国際化ドメイン名)によるもので,ドメイン名に日本語などのマルチバイト文字を利用できることから起きた問題です.
Shmoo Groupのサイトでは実際にどのような問題があるのかサンプルを提示している.サンプルでは「www.paypal.com」ではなく「www.pаypal.com」(一部がギリシャ文字)とすることで,実在するサイトと見た目で紛らわしいドメイン名を利用しています.実際に注意してアドレスバーを確認してみると,「а」が他の文字に比べて大きいので気がつくかと思います.
この問題を解決する方法としては,about:configでIDNの設定を無効にするといった情報もでてはいるのですが,どうも環境によってはうまく適用されないようで,私の環境でもうまくいきませんでした.また,Tech.Life.BloggedやMozillaZineで出された,compreg.datをいじる対策案も拡張をいれたりすると書き換えられてしまうためうまくいかないみたいですね.当面はURLバーを気にして,おかしなサイトへはいかないように気をつけるようにしておくこととします.
ちなみに,この問題は,FirefoxやOperaなど比較的新しいブラウザが対象となる問題で,IEはIDNに対応していないためこの問題に関しては危険性はありません.