2005年02月21日(月) << 前の日記 | 次の日記 >>
これまでの02月21日 編集

■3 日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか[http://日本語.jp/access/phishing.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

このプレスリリース。騒がれたから、大丈夫ですよと言ってみただけの感が否めない。不安や疑問に答えていないのだ。

なお、現実には、フィッシングでは誘導先のURIを偽装したり隠蔽したりするなど、もっと巧妙な手段が使われていることから、視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではないと考えます。

高木浩光@自宅の日記[http://takagi-hiromitsu.jp/diary/20050212.html#p03] でも指摘されているが、他に脆弱性があるからウチの脆弱性は放置して良いことにはならない。幸いブラウザの脆弱性は修正されつつあるし、これはプログラムの修正だから比較的容易に改善されていくだろう。しかし、運用の脆弱性は、その上にシステムが構築された後に修正するのが困難になる事が多いし、フィッシング詐欺脆弱性についてレジストラが配慮する方針であれば *1 、当然に考慮しておくべきことだろう。
さて、

今回問題にされているフィッシング詐欺問題の本質は、視覚による錯覚を利用するというものであり、IDNによって新たに引き起こされるものではありません。たとえば、ASCIIドメイン名でも、1(イチ)とl(エル)、0(ゼロ)とO(オー)による錯覚は存在します。ただし、日本語ドメイン名ではよく似た「ー」(長音)と「一」(漢数字)が使えるようになるなど、IDNによってその組合せが増えることも事実です。

として、「ー」「一」問題に触れながら、

JPドメイン名では、日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字など英数字に非常によく似た文字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。
また、全角英数字や半角カタカナが使用された場合でも、JPドメイン名の登録時に、技術標準に則った正規化と呼ばれる処理によりASCII英数字や全角カタカナに統一し、同一の文字として扱いますので、異なるドメイン名として登録されることはありません。IDNに対応したブラウザも同じ正規化を行いますので、全角・半角の違いによって異なるサイトにアクセスすることはありません。

と、対策の方では触れず、

さらに、一般に、アルファベットだけで書かれたドメイン名と日本語ドメイン名のどちらの方が日本人にとって錯覚が少ないかを考えると、日本語ドメイン名の方が錯覚が少ないものと考えます。
以上により、日本語JPドメイン名では、上述のような既存のドメイン名と視覚的に非常によく似たドメイン名を使用した不正サイトの存在は起こりにくくなっています。

と結論されても、じゃぁ「ソ二一.jp」問題はどうなるのかという疑問は解決しないままである。

以上のように、IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。

の認識と対策の中に、「ソ二一.jp」問題が含まれているのであれば、他の字形の似た文字についての対策も示して安心させて欲しいし、逆に含まれていないのであれば、字形の似た文字には注意すべきだという注意喚起をすべきだと思う。
もし、「ソ二一.jp」問題は依然として存在するのであれば、「フィッシング詐欺脆弱性について 」「安心してご利用いただけます」の結論は、利用者に誤解を生じさせて、危険にさらすことにならないか。

*1: もちろん、似たドメイン名でフィッシング詐欺に遭うのは、レジストラの責任じゃないので、知らんよという態度を取る事もできるだろう。だとすると、このプレスリリースで言おうとしていることが分からない。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年02月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project