SmallStyle

_ コハクチョウ

かつて琵琶湖には内湖と呼ばれる，琵琶湖につながる池や湿地帯がありました．その多くがこれまでの干拓，農地化によって埋め立てられていき，現在では23の内湖しか残っていません．

内湖は多くの動植物の生息場所で，水質浄化の役割も果たしています．近年，自然豊かな内湖を復元させようと滋賀県では試みられているのですが，そのひとつ早崎内湖の復元によりコハクチョウが飛来するまでになりました．本当に多くの白鳥がいて内湖の復元が決して無駄なものではないんだなと感じました．

_ IDN偽装の問題-ブラウザは悪くない

昨日取り上げた，ドメイン名にマルチバイトを利用できることによるアドレス偽装の件ですが，原因はレジストリ側に問題があるということを，日本レジストリサービス（JPRS）の国際化ドメイン名(IDN)のフィッシング詐欺脆弱性についてで解説されています．今回の問題はブラウザがIDNに対応して利用できるからといって，即それがブラウザ側の脆弱性にはつながらないということです．

確かに，「paypal」と「pаypal」が似ているからアクセスできないようにブラウザ側で対応していたらきりがありませんね．JPRSによると，IDNを登録する際に，上記のような紛らわしい文字は同一のものとしてみなすように定義をしていて，レジストリがこの定義にそって登録を受け付けるように「JETガイドライン(RFC3743)」や「ICANNガイドライン」を定めています．今回，このような問題が取り上げられたのは，これらのガイドラインに従わずに運用をおこなったレジストリがあったため起きました．

結局，あの手この手で巧妙にすり抜けてくる不正なサイトは出てくると思います．最後はやっぱり自分の目でしっかりアドレスを確かめて，むやみやたらにリンクはクリックしまいと，改めて思うのでありました．

_ Firefoxなどのブラウザにフィッシング詐欺の危険性

Japan.internet.comの記事によると，非営利セキュリティ技術者集団Shmoo Groupは，FirefoxなどのWebブラウザでフィッシング詐欺の被害にあう危険性を含む脆弱性があると発表したようです．この問題はIDN - International Domain Name(国際化ドメイン名)によるもので，ドメイン名に日本語などのマルチバイト文字を利用できることから起きた問題です．

Shmoo Groupのサイトでは実際にどのような問題があるのかサンプルを提示している．サンプルでは「www.paypal.com」ではなく「www.pаypal.com」(一部がギリシャ文字)とすることで，実在するサイトと見た目で紛らわしいドメイン名を利用しています．実際に注意してアドレスバーを確認してみると，「а」が他の文字に比べて大きいので気がつくかと思います．

この問題を解決する方法としては，about:configでIDNの設定を無効にするといった情報もでてはいるのですが，どうも環境によってはうまく適用されないようで，私の環境でもうまくいきませんでした．また，Tech.Life.BloggedやMozillaZineで出された，compreg.datをいじる対策案も拡張をいれたりすると書き換えられてしまうためうまくいかないみたいですね．当面はURLバーを気にして，おかしなサイトへはいかないように気をつけるようにしておくこととします．

ちなみに，この問題は，FirefoxやOperaなど比較的新しいブラウザが対象となる問題で，IEはIDNに対応していないためこの問題に関しては危険性はありません．