日本語JP 日本語JPドメイン名って、知れば知るほど便利!
ホーム 対応環境について 国際化ドメイン名(IDN)のフィッシング詐欺脆弱性についてCENTRが声明

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性についてCENTRが声明

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について、CENTR(The Council of European National TLD Registries)から声明が出されました。

以下に、JPRSによる参考訳を掲載いたします。

同形異義語攻撃に関するCENTR声明

最近、一部のWebブラウザで有名なWebサイトのアドレスと同一に見えるWebアドレスがどのように組み立てられるかを実演、実証する攻撃が、インターネット上でアナウンスされた。 このテクニックは、ユーザを錯覚させ、意図したものと異なるWeb サイトに誘導することができるもので、第三者にセンシティブな情報を与えた可能性がある。

今回のデモンストレーションの結果、WebブラウザはデフォルトでIDNを無効化すべきとする意見が多く聞かれた。 例えば、2005年2月15日には、Mozillaが今後のバージョンでIDNをデフォルトで無効にするとアナウンスした[1]。

世界の多くのドメインレジストリ − 世界ドメイン名登録の98% − で構成されるグループとして、CENTRは、 そのような強い反応が非英語の言語及び文字をインターネットに導入する努力に対して深刻な害を与え、 DNSを国際化する努力に対して継続的に波紋をもたらすと考える。

これを念頭に、CENTRは以下の点について指摘したい:

  • IDN展開における最大のハードルは、その技術をサポートするクリティカルマスの存在を保証することである。 ブラウザがIDNを初期設定から無効化したり、有効にするための余分なステップを設けたりすると、多くのインストールユーザはその機能を有効化しないだろう。 これはIDNのユーザ基盤を縮小させ、インターネットを国際化する努力を妨げるものである。
  • 今回の攻撃は、長年よく知られてきた方法によるものである。この問題は、 IDNの展開を主導するほとんどのポリシーの議論において提起されてきたし、IDNの仕様[2]中でも特定されている。 この攻撃は、コミュニティが急いで無分別な反応をしなければならないような、驚くべきものではないのである。
  • 今回の行為は特定の文字セットの混在に依存しているが、こういった混在は、ほとんどのTLDレジストリには影響を与えない。 ほとんどのTLDレジストリが文字の混在を制限するポリシーを採用してきたからである。 CENTRは、この問題によって生じるセキュリティ上のインパクトを被るユーザコミュニティにとって適切なポリシーを、 レジストリが採用するよう奨励する。
  • 一般的に、同形異義語攻撃は、IDNだけでなく、通常のあらゆるドメイン名登録で発生しうる。 例えば、小文字の「L」と大文字の「i」は、よく使用されるArialフォントでは同一に見える。 したがって、単純に英語のアルファベットを使っても、同じ攻撃は可能であった。 IDNは、通常のドメイン名にも存在する問題について、不当に特別扱いされているのである。
  • ソフトウェアベンダは、ソフトウェアによって強制されるドメイン名ポリシーが、 英語圏のみならずグローバルコミュニティに与える意味合いを慎重に認識すべきである。

CENTRは、同形異義語攻撃のリスクを低減するステップは取ってよいと考えるが、 そのステップは慎重に検討する必要がある。IDNを無効化したブラウザを急いで市場に出すというのは過度に熱狂的なステップであり、 非英語圏で大いに必要とされているIDNという技術に対する一般の信頼を損なわせるものである。

より考慮されたソフトウェア上のアプローチとしては、無効なSSL証明書や無署名コードに対して出す、既存のものと同じようなセキュリティの警告である。 この警告により、「コードページ」の混在(例:ラテン文字とキリル文字)を特定でき、ユーザに、 (アクセスを)続けるかやめるかの選択肢を与えることができる。

混合したコードページ自体はセキュリティ上の危険ではなく、一部の場面では必要なものである。 従ってこのアプローチは、特定の混合を許可できるようにするという形で今後導入されるべきである。

また、gTLDレジストリによる、関係者のリスクを制限する登録ポリシーの策定努力[3]を称賛したい。 gTLDレジストリは、グローバルコミュニティに対して責任を果たしつつ、 世界のコミュニティがネイティブな文字で通信できるようにするというIDNの約束を守り続けられるポリシーの重要性を指摘した。

CENTRは、この問題に建設的に取り組むつもりでいる。 また、コミュニティが満足な結論に達するために、IDNを展開する側にさらに関与していきたい。 我々は、この問題について良い結果を期待できる情報交換をレジストリ及び開発者と行ってきた。 CENTRは、IDNコミュニティの利害のバランスを取れる解決策を誠実に追求してきた方々に感謝したい。


参考

  1. http://weblogs.mozillazine.org/gerv/archives/007556.html
  2. この攻撃はIDN標準の「セキュリティの検討」に記述されている
    参照:http://www.ietf.org/rfc/rfc3490.txt
  3. ICANN gTLD Constituencyによるリリース(2005年2月23日)


CENTRについて

The Council of European National Top-Level-Domain Registries (CENTR)は、 .uk(英国)、dk(デンマーク)等のインターネットトップレベルドメインレジストリで構成する協会である。 CENTRは、情報交換をしたり、その時々で話題になっている問題について共通のポジションを形成したりするために、 TLD管理者のフォーラムを提供している。

CENTRは、ヨーロッパに焦点を置いているが、会員に地理的な制限はない。 CENTRには、カナダ、日本、イラン、ニュージーランド、メキシコ、米国を含む非ヨーロッパ会員もいる。

CENTRとその活動についての詳細は以下のCENTR Webサイトを参照:
http://www.centr.org/


(2005年2月24日掲載)