日本語JP 日本語JPドメイン名って、知れば知るほど便利!
ホーム 対応環境について 国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について、ICANNがパブリックコメントフォーラムを開設

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について、ICANNがパブリックコメントフォーラムを開設

ICANN(Internet Corporation For Assigned Names and Numbers)は、国際化ドメイン名(IDN)を推進する一方で、世界的なインターネットコミュニティに対し、一般市民をドメイン名悪用から保護することをテーマとしたパブリックコメントフォーラムを開設しました。

以下に、JPRSによる参考訳を掲載いたします。

IDN 同形異義語攻撃に関する声明およびコメント募集

特定のWebブラウザのURIへの脆弱性、及びIDN解決の使用によるドメイン名スプーフィングが最近広く注目されていることを、ICANNは承知している。

同形異義語ドメイン名スプーフィングは視覚的な類似性、または特定の文字やシンボルの類似性を利用して行われる。 標準ASCII文字セットにある文字(あるフォントでの数字の「1」と小文字の「l」(エル)、または文字の「O」(オー)と数字の「0」(ゼロ)の類似性)、または異なる言語の文字(「Β」(ギリシャ文字の大文字「ベータ」)とラテン文字「B」(ラテン大文字「ビー」)、 または中国語、日本語、韓国語の文字の混乱の可能性)がこれらに利用される可能性がある。

最近発行された勧告(http://www.shmoo.com/idn/homograph.txt)で特定されている脆弱性は、 標準的なpunycodeベースのIDNがいかに同形異義語攻撃の可能性を増大させるかを強調したものである。 インターネットコミュニティは、同形異義語ドメイン名やURIスプーフィングがIDN実装標準の採用以前から存在する問題だと認識しているが、 ドメイン名に利用可能な文字列の合計数が増加することにより、当然、文字の混乱及びスプーフィングの機会が増大する。

この件は、最近のIDNベースの同形異義語攻撃の可能性に関する記事によって幅広い注目を集めたが、 同形異義語の悪用が拡大する可能性については、ICANNコミュニティ内ではIDN標準の採択前から研究、議論のテーマとなっていた。

IDN言語レジストリテーブル等の実施実務や、混合文字セットドメイン名登録の制限、 管理のガイドラインを定義するために、多くの作業が行われてきた。 これら及びその他の現行のベストプラクティスガイドラインは世界的なインターネットコミュニティにより、IDNを可能にするために定義されてきた。

IDNが普及してきたため、ICANNは、同形異義語ドメイン名スプーフィング悪化の可能性、 及びIDNの使用やそれを不必要に規制する恐れのある対策が実施されることを懸念している。

ICANNは、IDN特有のものではない同形異義語の脆弱性と、同時に古いURI形式やドメイン名悪用から(ユーザを)保護せず、 ブラウザのIDN対応をデフォルトで解除することなどを含めた対策案について、意見、見解を募集する。

ICANNは非ラテン言語文字をドメイン名登録に使用することを責任を持って拡大する一方で、 世界的なインターネットコミュニティに対し、一般市民をドメイン名悪用から保護する活動の一環として、 このパブリックコメントフォーラムへの参加を勧める。


(2005年2月25日掲載)