1バイトの英数字以外の文字でつづられたドメイン名を取り扱う方法にセキュリティ上の弱点が見つかった。この問題により、Microsoft以外のブラウザ上でウェブサイトの偽装が可能になると、ある研究者が注意を呼びかけた。
セキュリティ専門家のEric Johansonは、先週末に開かれたShmooConというハッカーのイベントで、この問題について報告した。同氏によると、これは一部のブラウザがどの言語の文字や符号でもドメイン名を表示できるようにするための標準をサポートしていることが原因で発生するものだという。IDN(Internationalized Domain Names)と呼ばれるこの標準を使うと、企業はどの言語でも同じに見えるドメイン名を登録できる。
この問題の影響を受けるのはOpera、Apple ComputerのSafari、Mozilla FoundationのMozillaおよびFirefoxの各ブラウザで、このエンコーディングスキームを利用することで、攻撃者はフィッシング詐欺を行うための偽サイトを構築することができる。これらのブラウザのアドレスバーのなかでは、詐称されたリンクが正当なURLのように見えるが、しかしこのリンクは、信頼のおけるサイトではなく、IDN処理で同じアドレスに解析されるドメインを持った偽のウェブサイトにユーザーを誘導してしまう。
Mozilla Foundationは、この問題に対する長期的な解決策を探していると、同グループのエンジニアリングディレクターChris Hofmannは声明のなかで述べている。
「フィッシング攻撃の増加に伴い、エクスプロイトコードがこの機能を悪用してユーザーを悪意のあるサイトに誘導する不安が高まっている。Mozillaでは、この機能を修正もしくは無効にする選択肢を調査中で、近いうちに詳細を明らかにできるはずだ」(Hofmann)
フィッシング攻撃はここ最近、セキュリティ関連問題のなかで最も懸念が高まっている問題だ。フィッシングは、本物のように見えるウェブサイトや電子メールを作成して機密性の高い情報を消費者からだまし取ろうとする行為。これまで不安材料の多くはInternet Explorerの脆弱性に集中してきたが、ほかのブラウザにもそれなりに欠陥がある。
現在、さまざまなドメイン登録業者が異なる言語やスクリプトでのドメイン名表示機能をサポートするよう働きかけているが、今回のセキュリティ上の弱点は、そうしたなかで見つかった。
「いまではブラウザにドメイン名を表示する方法が数多くある。また英数字とよく似た文字も膨大な数に上る」(Johanson)
同氏が公開した勧告のなかでは、PayPalのドメインを悪用した例が示されている。この例では、最初の「a」にあたる部分にUnicodeの「а」の字が使われており、その結果ドメイン名は「http://www.pаypal.com」となっている。
この問題の詳細は、先週末にワシントンDCで開かれたShmooConというハッカーやコンピュータセキュリティ関係者のイベントで明らかにされた。同イベントを主催したShmoo Groupでは、1月中旬に関係するブラウザ開発元にこの情報を伝えたという。
Apple、VeriSign、Opera Softwareからはすぐにはコメントを得られなかった。
なお、MicrosoftのIEではまだIDNのサポートが実装されていないため、この欠陥の影響を受けることはない。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。