• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性

勝村幸博 2005/02/08 ITpro

 デンマークSecuniaなどは現地時間2月8日,MozillaやFirefox,Operaといった複数のブラウザに見つかったセキュリティ・ホールを公表した。悪用すると,アドレス・バー/ステータス・バーやデジタル証明書などに表示されるURLを偽装できる。このほか,CaminoやSafari,OmniWeb,Konqueror,Netscapeにも同様のセキュリティ・ホールが確認されている。Internet Explorerは影響を受けない。対策は,信頼できないリンクをクリックしないことなど。

 今回のセキュリティ・ホールは,国際化ドメイン名IDN(International Domain Name)の実装が原因(関連記事)。URL(リンク)に細工を施すと,悪意のあるサイトを実在する正規のサイトに見せかけられる。つまり,アドレス・バーなどに正規のURLが表示されているように見えても,実際には偽サイトにアクセスしている可能性がある。

 右上写真はSecuniaが公開しているデモの実行結果(拡大表示)。Firefoxのアドレス・バーには「http://www.paypаl.com/」と表示されているが,実際にはSecuniaのサーバー上のページにアクセスしている。

 右写真は,今回のセキュリティ・ホールを報告したEric Johanson氏によるデモ・ページの実行結果(拡大表示)。デジタル証明書の表示が「www.pаypal.com」となっている。

 いずれのブラウザについても,パッチや修正版は公開されていない。Mozilla製品(Firefox/Mozilla/Camino)の場合には,IDN対応機能を無効にすれば偽装されなくなるという。具体的には,「network.enableIDN」を「false」にする(デフォルトは「true」)。アドレス・バーに「about:config」と打ち込めば,各種設定項目が表示される。そのなかの「network.enableIDN」をダブル・クリックすれば,trueからfalseに変更される。

 また,今回のセキュリティ・ホールを悪用されるのは,リンクをクリックした場合に限られる。このため,信頼できないリンクをクリックしないことが重要である。これは,セキュリティのセオリーである。

◎参考資料
Mozilla / Firefox / Camino IDN Spoofing Security Issue
Opera IDN Spoofing Security Issue
Konqueror IDN Spoofing Security Issue
Safari IDN Spoofing Security Issue
OmniWeb IDN Spoofing Security Issue
Netscape IDN Spoofing Security Issue
Multiple Browsers IDN (International Domain Name) URL Spoofing
Multiple Browsers IDN Spoofing Test
The state of homograph attacks

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【何がすごいの?「5G」5つの疑問】

    5Gはいつ始まる?

     日本で5Gの商用サービスは3年後の2020年に始まる。NTTドコモとKDDIが2020年中の開始を表明しているほか、ソフトバンクも「2020年ごろを目指す」としている。携帯大手3社や総務省などの関係者は、2020年開催の東京オリンピック・パラリンピックを5Gの実力と活用方法を広くアピールする絶好の…

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る