CNET Japanから。
最近話題になってきた、古くて新しい(?)国際化ドメインの似ている文字や表記の問題についれJPRSがコメントしているようです。日本語ドメインは安全と主張しているようですが、JPRSが「日本語ドメインは危険です」とは言えないでしょう。
JPドメインはICANNガイドラインに基付いてDNS登録のルールを運用している。日本語文字列でも英数字でもない文字ではJPドメインのDNS に登録できないのである。さらに、例えば「A」と「a」と「A」と「a」はすべて「a」に変換してから登録するなど、文字の正規化を図っている。以上のルールにより、JPドメインでは似た文字問題が起こらない。異なる言語圏の文字を混ぜた場合、そもそもDNSに情報が登録されていないためだ。
/.でも記載されていましたが、日本語ドメインではカタカナの「へ」とひらながの「へ」は区別が付きづらいです。ICANNガイドライン、RFC3743の様にドメイン登録にはルールがありますが、RFCがあれば安心できる、と言うものではないと思います。RFC2505にはOpen Relayはいけません、とありますがこれがあるからと言ってOpen Relayが無くなる訳ではありません。ドメイン登録はSMTPサーバと違い、誰でも自由に設置できないので国際化ドメイン名の登録とは事情が異なるのは明らかですがそれでも問題は残ると思います。
JPRS社長室広報の渡辺俊雄氏はIDNのフィッシング詐欺への影響に関して2つの見解を示した。1つは、フィッシング詐欺はJPドメインではそもそも起こり得ない問題であること。2つ目は、COMドメインではフィッシングが起こり得るが、それはCOMドメインの問題であり、ウェブブラウザの機能を制限する論調になっていくのはよくないということ。
ここでのJPRSの見解は支離滅裂と言えると思います。JPドメインは安全なのでCOMドメインの問題はJPドメインの問題ではない? フィッシング(Phishing)は全てのユーザを「釣る」必要は無く、より多くの攻撃対象を釣るためにIDN機能は好都合ということが問題なのです。HTMLメールに金融機関のURLを付けリンク先はIPアドレスの別サイト、と言うフィッシングは「普通」に行われています。「COMドメインの問題でJPドメインでは問題は起り得ない」と言う考え方は暴論としか思えません。例えば「日本銀行.jp」を偽る「日本銀行.com」を本当のサイトと思うユーザは「10.231.87.12」というIPアドレスのサイトよりもかなりの多い数になる事は容易に推測できます。.jpドメインのIDNであればフィッシング詐欺が起きない、と言うの見解はどすれば出てるくのか理解不能です。
CNET Japanの記事にはこう書いてありました。
ブラウザの機能をOFFにしてIDNを使えなくすることは簡単にできる一方で、IDN が使えれば「商品名.jp」といったURLを使って情報にアクセスできる。IDNによるフィッシング問題をどう捉えるかはユーザーの判断に任せられている。
IDNは「必ず」無効にするべき機能、責任あるサイトはIDNのサイトは作るべきでは無いと考えています。ブラウザベンダーはIDN機能はデフォルト無効に設定するべきで、ほとんどのベンダーは正しい方向に修正すると思われます。
Say NO to IDN!!
Leave a Comment