日本語JP 日本語JPドメイン名って、知れば知るほど便利!
ホーム 対応環境について 国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について - 既に対策は存在し、.JPはサービス開始当初より対策済み -

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について
- 既に対策は存在し、.JPはサービス開始当初より対策済み -

2005年2月7日から8日にかけて、国際化ドメイン名(IDN)に起因するフィッシング詐欺脆弱性が発見されたとの報道がありました。しかしながら、その本質的な内容はブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリの側がどれだけきちんとした対応を行うかという問題であると言うことができます。ここでは、その内容を
  • 問題の本質
  • 報道されている問題に対する解決策は既に存在し、多くのレジストリでは適用されていること
  • JPドメイン名ではサービス開始当初から適切に対策をしていること

という流れでご説明します。

なお、現実には、フィッシングでは誘導先のURIを偽装したり隠蔽したりするなど、もっと巧妙な手段が使われていることから、視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではないと考えます。

問題の本質

ドメイン名は、文字列です。使用可能な文字はIDNの導入により多くなり、それに従いドメイン名で使える文字の中に似た文字が増える可能性があります。「IDNの脆弱性」として今回報道されている問題は、悪意を持った不正サイト運用者がそれを利用し、一般利用者に似たドメイン名と見間違えさせるのが容易になることです。特に、今回の報道では、IDNで使用可能な「英字と酷似する非英字」(たとえば、キリル文字「a」)をドメイン名に紛れ込ませ、IDN対応ブラウザを使用している場合に不正サイトに誘導できる例が指摘されています。

今回問題にされているフィッシング詐欺問題の本質は、視覚による錯覚を利用するというものであり、IDNによって新たに引き起こされるものではありません。たとえば、ASCIIドメイン名でも、1(イチ)とl(エル)、0(ゼロ)とO(オー)による錯覚は存在します。ただし、日本語ドメイン名ではよく似た「ー」(長音)と「一」(漢数字)が使えるようになるなど、IDNによってその組合せが増えることも事実です。

しかし、この問題はIDNの導入や標準化(RFC化)の過程で既に認識されており、IDN登録時の運用ルールで問題の発生を抑制する方式も検討され、IETFからRFCとして発行されています。また、その運用ルールを適用する際の方針を示すレジストリへのガイドラインもICANNにより発行されています。つまり、解決策は用意されていますので、あとは各レジストリが、IDNの使いやすさとのバランスを考慮し、いつどういう対策をほどこすかにかかっています。

報道されている問題に対する解決策は既に存在します

前述の通りこの問題は既に認識されており、以下のガイドラインが発行されています。

JETガイドライン(RFC3743)
IDNの登録を受け付けるレジストリに対するガイドラインです。レジストリは登録を受け付ける「言語」とその「言語」で登録可能な文字の集合を定義すること、IDN登録時にそのドメイン名を「言語」と関連付け、不適切な文字の登録を抑制するとともに、必要に応じてドメイン名内で同一とみなすべき文字を定義することを、具体的な様式とアルゴリズムで規定しています。
ICANNガイドライン
IDNの登録を受け付けるレジストリに対するガイドラインです。JETガイドラインを踏まえたうえで、IDNの標準に従うこと、登録可能な文字集合を定義すること、IDNと言語を関連付けること、一つのIDNを複数の言語に関連付けないことなどを規定しています。

IDN登録を行う各TLDは、これらガイドラインに則った登録ルールを採用することで、複数の言語で使用される文字が混在したドメイン名の登録を排除でき、錯覚を起こすドメイン名は激減します。また、報道で使用された"paypal.com" 内のキリル文字「a」がASCII文字「a」のvariant(同一とみなすべき文字)であると定義するようなルールをこれらガイドラインに従い規定しておけば、この問題も回避できます。

現在IDNをサービスしているレジストリのほとんどは、このガイドラインに従って登録サービスを行っている、もしくは、従うことを計画中です。よって、これらガイドラインに従ったIDNに対し、IDN対応ブラウザでアクセスすることにおいては、報道にあるような英字に酷似した非英字を用いたフィッシング詐欺脆弱性は抑制されています。

JPドメイン名は対策済みです

JPドメイン名では、日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字の一部など英字に酷似した非英字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。

また、全角英数字や半角カタカナが使用された場合でも、JPドメイン名の登録時に、技術標準に則った正規化と呼ばれる処理によりASCII英数字や全角カタカナに統一し、同一の文字として扱いますので、異なるドメイン名として登録されることはありません。IDNに対応したブラウザも同じ正規化を行いますので、全角・半角の違いによって異なるサイトにアクセスすることはありません。

以上により、日本語JPドメイン名では、複数の言語間で存在する視覚的に非常に良く似た文字をドメイン名に悪用した、不正サイトの存在は起こりにくくなっています。

これらの対応は、日本語JPドメイン名導入時点から実施されています。しかし、このような対応が実施されていないTLDでは、報道されている問題が起こりやすいということが言えます。これはブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリのポリシーの問題です。

    例:1
    example.com登録可能 (すべてASCIIのアルファベット文字)
    example.com登録可能 (aに見える文字がキリル文字)
    例:2
    example.jp登録可能 (すべてASCIIのアルファベット文字)
    example.jp登録不可能 (aに見える文字がキリル文字)

以上のように、JPRSではIDNの導入で起こりえる問題を認識し、日本語JPドメイン名を安心してご利用いただけるよう、サービス導入時から漢字・仮名・英数字のみを使用可能とする対応策を実施しています。

同一言語文字集合内における視覚的に似た文字の存在による問題への対処

報道で指摘された問題のように複数の言語間で存在する視覚的に非常に良く似た文字をドメイン名に悪用した不正サイトの問題以外にも、同一言語文字集合内における視覚的に似た文字によって同様の問題が発生する可能性があります。

たとえば、日本語で用いられる文字では次のような似た文字があります。

    [へ](平仮名)[ヘ](片仮名)
    [ソ](片仮名)[ン](片仮名)
    [ロ](片仮名)[口](漢字)

    ※上記以外にも多数存在します


私たちが日常生活のなかで日本語を使用する際にはこれらの文字はそれぞれ別の文字として扱われており、文章作成時も異なる文字として意識しています。したがって、そこから掛け離れた使用制限や同一視は日本語JPドメイン名としての利便性を大きく損なうこととなってしまいます。

このため、日本語JPドメイン名ではこのような日本語の文字の中で視覚的に似ている文字については登録制限を行っていません。ですが、このような似た文字を悪用して第三者の商標や商号などと誤認させるような不正なドメイン名の登録・使用に対しては、JPドメイン名紛争処理方針(JP-DRP)に則った手続きが提供されており、ドメイン名の取り消しや移転という形で問題の解決に当たることができます。


■更新履歴

2005年02月09日:掲載
2006年06月01日:改定 日本語JPドメイン名では、漢字・仮名・英数字以外の類似文字はドメイン名として使用不可能であるという記述に加え、新たに、漢字・仮名・英数字の中で互いに類似した文字については利便性の観点から使用制限をしておらず当該類似性に関する不正に関してはJP-DRPで対応していることを追記