かなり前から指摘されていましたが、先月に話題になった「国際化ドメイン(IDN)」の一部ブラウザ上での脆弱性ですが、実際に見てみるとこれが分からないんですよ~!
以前にも、アルファベットの「a」とキリル文字の「а」を入れ替えたpaypаl問題なんてのがありました。IDN登録時のチェック(JETガイドライン)で、怪しいものは受け付けられないようになっています。
今回騒がれたのは、「∕」という記号が半角スラッシュ「/」と酷似している点で、これはサブドメインに忍ばせて使用されます。
◆実験URI
A: http://www.oreorebank.co.jp/.itsd210.s24.xrea.com/
B: オレオレ銀行のホームページ
( いずれもリンク先は http://www.oreorebank.co.xn--jp-7bv.itsd210.s24.xrea.com/ )
※IDN対応のブラウザ専用です。未アップデートのSaferi、Opera9.0などが最適です(^-^;;
※本当には接続できません、ブラウザのアドレス・バーの表示をお楽しみ下さい。
※オレオレ銀行(oreorebank.co.jp)は架空のドメインです。
安全なIDN対応ブラウザでは、
http://www.oreorebank.co.jp∕.itsd210.s24.xrea.com/
となります。が、一部ブラウザだと↓こうなります(画像は Opera9.0)。 Safari以外でも対応!(滝汗
「∕」以降が当サイトのアドレスなので「アレ?」って思うでしょうけど、ログインCGIっぽいドメイン名(例えば、www.oreorebank.co.jp∕user.login.pl (PL:ポーランド) みたいな)であれば、・・・定期的なブラウザのアップデートを怠っているような人なら 簡単にフィッシングされちゃいそうな予感がしてみました。
# UNICODEで定義されている記号もドメイン名に使えたんですね。今頃知りました(^-^;;
◆この脆弱性の詳細についてはこちら
・「Safari」における URL の表示偽装の脆弱性 - IPAセキュリティセンター 8月20日
◆IDN/Punycodeについてはこちら
・ドメイン運用 国際化ドメイン名 - 個人でも独自ドメイン取得記
◆実験その2
・http://xn--itsbank-if0du49a.xrea.jp/ ←「/」が表示されるかチェック用
※本当に接続できますが、勝手に .co.jp を名乗ると怒られそうなので(^^;)やっていないだけです。
-=-=-=-=-=-=-=-
本文中でご紹介したJETガイドラインですが、『IDNを構成する文字の中には等価や等価に近い意味合いを持つ文字 (例:国と國など)があることから、 それが原因で誤解や混乱を招く文字の組み合わせでの登録がなされるのではないかという懸念』に対して『異字体テーブル』が用意されています。(JPNICの記事より一部引用)
(9/4追記)
