国際化ドメイン名とフィッシングの関連性?
最近はフィッシング詐欺のことも広く知られるようになってきましたよね。
もしまだ何かわからない方がいましたら、以下の記事を参考にして下さい。
警戒する人も多くなり、どこかのWebサイトにアクセスするときには、ブラウザのアドレスバーのURLをちゃんと確認する人も増えてきました。
でも、アドレスバーに「http://www.mecha-security.com」とちゃんと表示されているように見えても、もしかすると、国際化ドメインを悪用したURL詐称(スプーフィング)かもしれません。
たとえば、アルファベット(ASCII文字)の「a」に見えるのが、実はキリル文字の「a」に似た文字だったりする可能性があるということです。
最近日本語のドメインもありますが、この場合は、ひらがなの「り」がカタカナの「リ」になっていたり、「ー」と「−」の違いだったりと、見た目が同じような文字を、使うことで、ドメインをなりすますことができるわけです。
実際にSecuniaのサイトにテストページが用意されていますので、見てみてください。
■Secunia – Multiple Browsers IDN Spoofing Test
こういったなりすましを防ぐためには、ドメインを取得する側が、考えられる色々な組み合わせのドメインを全て取ってしまうという方法も考えられます。
でもやはり一番良いのは、ドメインの登録を受け持つ側が、明らかに紛らわしいドメイン名の申請を拒否することでしょうね。
一応、以下で報告されているように、日本語ドメイン「日本語.jp」についてはしっかりと対応がされているようです。
■国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について
ただ、もし完全に信用できないメールのリンクをクリックするような場合には、十分に用心をするのであれば、URLはアドレスバーに直接手で打ち込むなどした方が安全かもしれません。
自分の手で打つ場合に、キリル文字を打つ心配はないですからね(^^
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。