『Firefox』などのブラウザにフィッシング詐欺の危険性

この記事のURLhttp://japan.internet.com/webtech/20050209/12.html

非営利のセキュリティ技術者集団 Shmoo Group は6日、『Firefox』をはじめ『Mozilla』『Safari』『Opera』『Camino』などの Web ブラウザに、なりすまし詐欺やフィッシング詐欺を許しかねない脆弱性が見つかったと発表した。Microsoft の『Internet Explorer』(IE) は、同脆弱性の対象ではない。

Shmoo Group は自身のサイトに「0wn any domain, no defense exists」(ドメインを所有する限り、防御方法はない) というタイトルで警告のリンクを掲載したほか、問題に関する情報と実際の使用例を掲載した。

リンク先の文章は、次のような内容だ。「ドメインを所有したい？ そのドメインの安全な SSL 認証が欲しい？ PayPal (もどき) のドメインは、われわれが取得した。それ以外ならどんな (もどきの) ドメインだろうが取得できる。この問題の解決策について、われわれに案はないし、ブラウザ開発者にも策はない」

これは、IDN によるなりすまし問題というもので、セキュリティ会社 Secunia の警告によると、深刻度は5段階で中間の3番目だ。Shmoo Group の Eric Johanson 氏の報告に基づき、同社は利用者に対し、信頼できないソースのリンクをクリックしたり、アドレスバーにペーストしたりしないよう、注意を呼びかけている。

IDN とは、International Domain Name (国際化ドメイン名) の略で、ドメイン名に使用する文字として、日本語などマルチバイト系の文字が使える技術だ。Shmoo Group が示した例は、「www.paypal.com」ではなく「www.pаypal.com」(一部がキリル文字) とすることで、異なるにもかかわらず、見た目上非常に紛らわしいドメインを用いる「ホモグラフ (同形異義語) 攻撃」が可能になるというものだ。この方法を用いれば、悪意ある Web サイトが実在の (つまり信頼できるサイトの) URL を騙り、アドレスバーやステータスバー、あるいは SSL 証明書にも表示することができる。

これは、IDN を実装するにあたり、上記のブラウザが「予期しなかったこと」だ。この問題点を悪用するには、ドメイン名を標準的なラテンアルファベット文字によく似た、国際文字で登録すればよい。この手法を用いれば、国際文字を使いながら、よく似た正規の URL のように見えるドメインを取得できる。

「ホモグラフ (同形異義語) 攻撃」という考えは新しいものではない。Johanson 氏は、問題に関する詳細情報の中で、2001年12月の報告書を引用し、この種の攻撃がどのように起こるかを説明している。同氏は説明の中で、当時は Unicode/UTF-8 形式のドメイン名を解釈するブラウザはなかったことを強調する。現在は、Firefox、Mozilla、Safari、Opera はもちろんのこと、Microsoft の IE を除くほぼすべてのブラウザが、IDN および Unicode/UTF-8 形式のドメイン名を解釈する機構を実装している。

Shmoo Group によると、Mozilla 開発者はこの問題の回避方法をすでに提示しているが、現時点ではまだどの程度有効か不明という。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。