2005年02月08日(火) 19時30分

Mozilla/Firefox/Operaなどに国際化ドメイン名の盲点をついたURL偽装の問題（impress Watch）

　デンマークを拠点とするセキュリティベンダー会社Secuniaは7日（現地時間）、Mozilla/Firefox/Opera/NetscapeといったIE以外の主要Webブラウザーに、国際化ドメイン名（以下、IDN）の盲点をついたURL偽装の問題が存在することを公表した。

　ISD（International Domain Name）とは、半角英数字やハイフンだけでなく、ひらがなや漢字、ハングル文字といった多種多様な文字をインターネットドメイン名に利用できる仕組みのこと。ISDのWebサイトにアクセスするには、Webブラウザー側の対応も必要であり、現在Mozilla/Firefox/Opera/NetscapeなどがIDNに対応している。なお、IEはIDNに未対応。

　今回報告された問題は、半角英数字と似ている別の文字を利用したドメイン名を取得し、半角英数字で構成されるURLの有名Webサイトなどになりすますというもの。たとえばアルファベットの“a”とロシアのキリル文字“а”は非常に似ているため、信頼できるWebサイトにアクセスしたつもりが、URLを偽装した悪意のあるWebサイトにアクセスしてしまう可能性がある。

　Secuniaによると本問題は、「Mozilla」v1.7.5、「Firefox」v1.0、「Opera」v7.54u1/7.54u2、「Netscape」v7.2で確認したとのこと。とはいえ、「Mozilla」v1.4以降、「Firefox」v0.8以降、「Opera」v7.20以降、「Netscape」v7.1以降のバージョンでは、IDNが完全サポートされているのでユーザーは注意が必要だ。

　本問題を回避できる最新版は各ソフトとも公開されていないので、信頼できないWebサイト上のリンクはクリックを控えるようにしよう。また、どうしてもそのリンクへアクセスする必要がある場合は、リンクURLをアドレスバーに手動入力する方法でアクセスするのが賢明だ。

□Secunia - Advisories - Mozilla / Firefox / Camino IDN Spoofing Security Issue

http://secunia.com/advisories/14163/

□Secunia - Advisories - Opera IDN Spoofing Security Issue

http://secunia.com/advisories/14154/

□Secunia - Advisories - Netscape IDN Spoofing Security Issue

http://secunia.com/advisories/14165/

（中井 浩晶）

http://headlines.yahoo.co.jp/hl?a=20050208-00000014-imp-sci