2005-02-10
_ IDN偽装の問題-ブラウザは悪くない
昨日取り上げた,ドメイン名にマルチバイトを利用できることによるアドレス偽装の件ですが,原因はレジストリ側に問題があるということを,日本レジストリサービス(JPRS)の国際化ドメイン名(IDN)のフィッシング詐欺脆弱性についてで解説されています.今回の問題はブラウザがIDNに対応して利用できるからといって,即それがブラウザ側の脆弱性にはつながらないということです.
確かに,「paypal」と「pаypal」が似ているからアクセスできないようにブラウザ側で対応していたらきりがありませんね.JPRSによると,IDNを登録する際に,上記のような紛らわしい文字は同一のものとしてみなすように定義をしていて,レジストリがこの定義にそって登録を受け付けるように「JETガイドライン(RFC3743)」や「ICANNガイドライン」を定めています.今回,このような問題が取り上げられたのは,これらのガイドラインに従わずに運用をおこなったレジストリがあったため起きました.
結局,あの手この手で巧妙にすり抜けてくる不正なサイトは出てくると思います.最後はやっぱり自分の目でしっかりアドレスを確かめて,むやみやたらにリンクはクリックしまいと,改めて思うのでありました.