現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-61

Mozilla Foundation セキュリティアドバイザリ 2013-61

タイトル: .com、.net、.name ドメインにおける同形異義語偽装
重要度:
公開日: 2013/06/25
報告者: 3ric Johanson
影響を受ける製品: Firefox、Seamonkey

修正済みのバージョン: Firefox 22.0
  SeaMonkey 2.19

概要

Verisign によって提案された国際化ドメイン名 (IDN) を使った同形異義語攻撃に対する予防法が厳格さに欠けており、Firefox 内でドメインが偽装される可能性がわずかに残されていることが、セキュリティ研究者の 3ric Johanson 氏により、Richard NewmanHolt Sorenson 両氏との議論の中で報告されました。

IDN は、非英語圏の話者が母国語でドメインを使えるようにする技術です。多くの対応文字が英語の他の文字と似ているかそっくりであるため、ドメイン名の潜在的な偽装が可能であり、それらがブロックされない場合はフィッシング攻撃につながる恐れがあります。Verisign との協議の結果、Mozilla は .com、.net、.name トップレベルドメインを IDN ホワイトリストへ追加し、それらのトップレベルドメインで制限なく IDN を使用できるようにしました。しかし、従来からある偽装防止のための制限の多くが引き続き効果的であることが明らかになりました。

この問題は、.com、.net、.name トップレベルドメインを IDN ホワイトリストから除外し、ホワイトリストの実装をドメインラベル内の筆記体文字混合に対する技術的制限で補うことで修正されました。これらの制限はホワイトリストに含まれていないすべてのトップレベルドメインに適用されます。使用されている厳密なアルゴリズムについての情報は Wiki ページ を参照してください。

参考資料