2005年02月21日(月) 19時33分

Firefox、Mozillaの次回リリースでのIDN機能無効化は回避（impress Watch）

　国際化ドメイン名（IDN）を悪用してURLを“偽装”できる問題について、「Firefox」「Mozilla」などのWebブラウザが次回リリースでIDN機能を無効化する意向を示していたが、URLの表示方法を変更することによりIDN機能は有効のままでのリリースを検討していることが明らかになった。mozilla.orgのスタッフであるGervase Markham氏が17日、自身のブログの中で方針を示した。

　この問題は、英数字と似たラテン文字などを使ったIDNによって、Webブラウザに表示されるURLを“偽装”できるというもの。セキュリティベンダーのSecuniaでは、キリル文字の「а」を使った「http://www.paypаl.com/」といったURLで、PayPalを装ったフィッシングサイトが開設できる例を紹介していた。

　この問題を回避するため、次回リリース予定のFirefox 1.0.1とMozilla 1.8 betaでは、IDN機能を無効化する方針を示していた。これに対して、新たに公表されたパッチでは、IDNを用いたドメイン名については英数字にエンコードした「Punycode」で表示する方法が示された。これにより、前述の「www.paypаl.com」にアクセスした場合には、Webブラウザ上では「www.xn--paypl-7ve.com」と表示されることになり、IDN機能を無効化せずにフィッシング問題を回避できるとしている。

　Markham氏は、このパッチについて短期的な措置としながらも、次回リリースでは標準で組み込んでいく方向としている。

関連情報

■URL

　 Gervase Markham氏のブログ（英文）

　 http://weblogs.mozillazine.org/gerv/archives/007586.html

■関連記事

・ FirefoxとMozillaの次回リリース版ではIDN機能を無効化（2005/02/15）

・ IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題〜JPRS（2005/02/09）

・ 国際化ドメイン名がフィッシングに悪用される問題〜Secuniaなどが指摘（2005/02/08）

（ 三柳英樹 ）

2005/02/21 13:44

http://headlines.yahoo.co.jp/hl?a=20050221-00000016-imp-sci