japan.internet.com The Internet & IT Network


RSSニュース検索
カテゴリ
> トップページ
> Webビジネス
> Eコマース
> Webファイナンス
> Webマーケティング
> パブリック
> Webテクノロジー
> 携帯・ワイヤレス
> Linux Today
> Linux Tutorial
> J.I.C.ブログ
キャリア
> 転職ならen
> 派遣ならen
> アルバイトならen
> IT求人情報
ヘッドライン
> 今日のヘッドライン
> 週間ヘッドライン
Special Link
> 求人情報はe-aidem
> ロレックス
> フォトコミュニティ
> ストックフォト
> クリップアート
> イラスト
> フェリカ
イベント&セミナー
> イベントカレンダー
> 書評「IT の耳」
> 出張・接待検索
> ニュースガジェット 注目
無料ニュースメール
> 新規登録
> 変更・解除
> オプトインメールの登録・変更・解除
インフォメーション
> パートナーサイト
転職ならエン
就職ならen
求人ならen
履歴書ならen
アルバイトならエン
CRM/SFAならオラクル
> グループ会社
株式会社アエリア
(株)サンゼロミニッツ
株式会社エアネット
> お問い合わせ
> 広告掲載について
> リンクについて
> 著作権について
> その他お問い合わせ
> 利用規約
> 個人情報保護方針
> 会社概要地図
Webテクノロジー 2005年2月9日 00:00
Webテクノロジー・バックナンバー
『Firefox』などのブラウザにフィッシング詐欺の危険性

著者: Sean Michael Kerner  オリジナル版を読む プリンター用 記事を転送
2005年2月9日 00:00 付の記事
海外internet.com発の記事
このエントリーを含むはてなブックマーク この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録 newsing it!

非営利のセキュリティ技術者集団 Shmoo Group は6日、『Firefox』をはじめ『Mozilla』『Safari』『Opera』『Camino』などの Web ブラウザに、なりすまし詐欺やフィッシング詐欺を許しかねない脆弱性が見つかったと発表した。Microsoft の『Internet Explorer』(IE) は、同脆弱性の対象ではない。

Shmoo Group は自身のサイトに「0wn any domain, no defense exists」(ドメインを所有する限り、防御方法はない) というタイトルで警告のリンクを掲載したほか、問題に関する情報と実際の使用例を掲載した。

リンク先の文章は、次のような内容だ。「ドメインを所有したい? そのドメインの安全な SSL 認証が欲しい? PayPal (もどき) のドメインは、われわれが取得した。それ以外ならどんな (もどきの) ドメインだろうが取得できる。この問題の解決策について、われわれに案はないし、ブラウザ開発者にも策はない」

これは、IDN によるなりすまし問題というもので、セキュリティ会社 Secunia警告によると、深刻度は5段階で中間の3番目だ。Shmoo Group の Eric Johanson 氏の報告に基づき、同社は利用者に対し、信頼できないソースのリンクをクリックしたり、アドレスバーにペーストしたりしないよう、注意を呼びかけている。

IDN とは、International Domain Name (国際化ドメイン名) の略で、ドメイン名に使用する文字として、日本語などマルチバイト系の文字が使える技術だ。Shmoo Group が示した例は、「www.paypal.com」ではなく「www.pаypal.com」(一部がキリル文字) とすることで、異なるにもかかわらず、見た目上非常に紛らわしいドメインを用いる「ホモグラフ (同形異義語) 攻撃」が可能になるというものだ。この方法を用いれば、悪意ある Web サイトが実在の (つまり信頼できるサイトの) URL を騙り、アドレスバーやステータスバー、あるいは SSL 証明書にも表示することができる。

これは、IDN を実装するにあたり、上記のブラウザが「予期しなかったこと」だ。この問題点を悪用するには、ドメイン名を標準的なラテンアルファベット文字によく似た、国際文字で登録すればよい。この手法を用いれば、国際文字を使いながら、よく似た正規の URL のように見えるドメインを取得できる。

「ホモグラフ (同形異義語) 攻撃」という考えは新しいものではない。Johanson 氏は、問題に関する詳細情報の中で、2001年12月の報告書を引用し、この種の攻撃がどのように起こるかを説明している。同氏は説明の中で、当時は Unicode/UTF-8 形式のドメイン名を解釈するブラウザはなかったことを強調する。現在は、Firefox、Mozilla、Safari、Opera はもちろんのこと、Microsoft の IE を除くほぼすべてのブラウザが、IDN および Unicode/UTF-8 形式のドメイン名を解釈する機構を実装している。

Shmoo Group によると、Mozilla 開発者はこの問題の回避方法をすでに提示しているが、現時点ではまだどの程度有効か不明という。






関連記事
  • サイバードと KCCS、携帯サイトのセキュリティサービスを提供
  • JWord が Firefox に対応、MacOSX やLinux でも利用可能に
  • Mozilla 関連プロジェクトに3種の脆弱性報告
  • goo、Firefox 対応プラグインの配布を開始
  • 『Firefox』のシェア4.6%、11月に大きな伸び


    • 関連テーマ
  • ブラウザ
  • フィッシング
  • ドメイン
  • Mozilla
  • Microsoft
  • SSL
  • Opera


    • このエントリーを含むはてなブックマーク この記事をクリップ!
    BuzzurlにブックマークBuzzurlにブックマーク Yahoo!ブックマークに登録users
    ★最新トップニュース
    国内 Suica ポイントと Yahoo! ポイントの相互交換サービススタート(Webビジネス 7月4日 17:00)
    東日本旅客鉄道株式会社(JR東日本)とヤフー(Yahoo! JAPAN)は2008年7月4日、「Suica ポイント」と「Yahoo! ポイント」を相互に交換できる「ポイント交換サービス」を2008年7月8日から開始すると発表した。
    国内 ソーテック、ソフトウェアダウンロード販売サービスを開始画像のある記事(E-コマース 7月4日 16:20)
    ソーテックは、2008年7月3日、ネットワーク認証型 DRM「Buddy」を提供するインターレックスと共同で「SOTEC SOFT DIRECT」を開設し、ソフトウェアのダウンロード販売サービス開始した。
    国内 「SoftBank SELECTION」ブランドの PC ソフト使用権をカード形式で店頭販売開始画像のある記事(Webビジネス 7月4日 15:40)
    ソフトバンクグループの BB ソフトサービスは、2008年7月3日、「SoftBank SELECTION」ブランドの PC 用ソフトウェアの使用権をカード形式で店舗販売することを発表した。
    国内 日立 GP と高電社、自動翻訳 ASP サービス販売で提携(Webマーケティング 7月4日 15:30)
    日立公共システムエンジニアリング株式会社 (日立 GP)と株式会社高電社は2008年7月4日、高電社が提供する自動翻訳サービス「J-SERVER プロフェッショナル My サイト翻訳(My サイト翻訳)」の販売提携を行うと発表した。
    国内 D-Link がコンパクトセキュリティスイッチ新製品発表(Webテクノロジー 7月4日 15:20)
    台湾ネットワーク機器販売企業 D-Link の日本法人ディーリンクジャパンは2008年7月4日、L2+コンパクトセキュリティギガビットスイッチ「DGS-3200シリーズ」の新製品「DGS-3200-16」を発表した。
    トピックス
    > オススメのIT系求人情報【毎週月曜日更新】
    footer_301.gif


    リサーチ
    > デイリーリサーチDLサイト
    > OnlineResearchPortal (リサーチデータバンク)
    > モバイルリサーチ with goo
    footer_301.gif
    キーワード
    > iPhone > モバイルノート
    > 08ソフトバンク夏モデル > ウィルコム
    > Youtube > インド新聞
    > テーマ一覧はこちら
    footer_301.gif
    セミナー情報
    > 第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました
    footer_301.gif
    デベロッパー
    > DevX
    > CodeGuru
    > developer.com
    footer_301.gif
    日本オラクル
    footer_301.gif
    j.i.c.ブログ
    ブログ一覧
    Graphic Design Forum 【Graphic Design Forum】
    スキャンについて - その二 (7月4日)
    データメーション 【データメーション】
    Firefox 3はブラウザ界の Danni Ashe(7月4日)
    ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」 【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】
    「インターネットの黎明期から培われた『歴史』を強みに、今後も残り続けていく製品を提供する」/有限会社赤黄緑青紫(7月4日)
    ジュピターメディア創設者がITを斬る 【ジュピターメディア創設者がITを斬る】
    素晴らしいエンターテインメント - Billy Joel(7月1日)
    デスマーチからの脱却 【デスマーチからの脱却】
    チャンスの神様(6月26日)
    Skypeブログ出張版 【Skypeブログ出張版】
    Skype 4.0 ベータ 1 for Windows登場(6月20日)
    footer_301.gif
    最新コラム一覧
    CodeGuru CodeGuru

    Visual C++ 2008 Feature Pack: MFCの強化(7月4日)
    最新ハイテク講座 最新ハイテク講座

    宮崎哲弥氏もお世話になってる「RSS」ってどんな技術?(7月4日)
    アイレップの SEO スタンダード アイレップの SEO スタンダード

    ユーザー動線の変化により対応が迫られるモバイル SEO(前編)(7月4日)
    百式のネットビジネス研究 百式のネットビジネス研究

    相手が読んだ瞬間に消えてしまうメッセージが送れる「Privnote」(7月4日)
    「IT の耳」 「IT の耳」

    【書評】IPTV 革命〜放送、ネット、モバイルのビジネスモデルが変わる〜(7月3日)
    週刊-サイト別アクセス状況データ 週刊-サイト別アクセス状況データ

    ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(7月3日)
    気になるトレンド用語 気になるトレンド用語

    ノキアのケータイ OS オープン化って何がすごいの?(7月2日)
    DevX DevX

    Script.aculo.usのコントロールでWebアプリケーションをもっと使いやすく(7月1日)
    エンジニア転職ノウハウ開発室 エンジニア転職ノウハウ開発室

    SEって「そもそも」ばっかで、融通きかないよね?(7月1日)
    アイレップの SEM フロンティア アイレップの SEM フロンティア

    Google のモバイル向けコンテンツターゲット広告を活用しよう(7月1日)
    footer_301.gif
    専門チャンネル
    > セキュリティチャネル > テレコムチャネル
    > サーチエンジンウォッチ
    footer_301.gif
    海外のインターネットコム アメリカ韓国ドイツトルコ
    関連企業のサイト:ストックフォト イラスト ネットストリート ホテル予約サイト タウン情報 出張 事業継承 シミュレーション トランクルーム 優待映画チケット 田舎暮らしガイド オリジナルデザインTシャツ ニタコエ
    Copyright 2008 Jupitermedia Corporation All Rights Reserved. http://www.internet.com/
    		space.gif space.gif