日本レジストリサービス(JPRS)は2月9日,先ごろ報じられた「国際化ドメイン名(IDN)を使ったURL偽装」の問題は,ブラウザの実装ではなく,レジストリの運用が原因であると公表した(関連記事)。IDNで利用できる「他の文字に間違えそうな文字(英数字によく似た文字)」をアドレス・バーなどに表示するブラウザが原因ではなく,そういった文字を含むドメイン名を登録してしまうレジストリのポリシーが問題だとする。JPドメインのレジストリである同社では,IDNの導入当初から対応済み。
同社によると,さまざまな言語をドメイン名に利用できるIDNにおいては,その導入時点から「他の文字に見間違いそうな文字を使って,悪意のあるサイトを正規のサイトに見せかける」といった問題は認識されていたという。そのため,IDN登録時の運用ルールで回避する方法が検討され,RFCやICANNのガイドラインとしてまとめられた。これらにのっとってIDNを登録すれば,今回のような問題はほとんど起きないという。実際,現在IDNに対応しているレジストリのほとんどは,これらに従って登録している,あるいは従うことを計画中だという。
例えばJPRSでは,日本語JPドメイン名として使用できる文字を漢字/仮名/英数字に限定している。このため,今回の報道で例として挙げられた「paypаl.com(『а』はキリル文字)」は登録できても,JPドメイン名の「paypаl.jp」は登録できない。
また,全角英数字や半角カタカナを含むJPドメイン名の登録が申請されたときには,それらをASCII英数字や全角カタカナに“正規化”して登録する。また,IDNに対応したブラウザも同じ正規化を行うので,全角/半角の違いで,異なるサイトにアクセスすることはないという。
◎参考資料
◆国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について
(勝村 幸博=IT Pro)
