国際化ドメイン名のフィッシング詐欺はブラウザの責任ではないとJPRSが見解

　JPドメインを管理し国際化ドメイン名（IDN）の普及を狙う日本レジストリサービス（JPRS）は2月9日、IDNの特徴を利用したフィッシング詐欺はレジストリ（ドメイン名管理事業）の運用の問題であり、ウェブブラウザの責任ではないという指針を示した。

　発表した指針の背景には、FirefoxやSafariなど一部のブラウザでIDNを使ったフィッシング詐欺が可能になるという内容の報道がある。具体的には、PayPal.comドメインを悪用した例として、最初の「a」にあたる部分にUnicodeの「а」の字を当てた「http://www.pаypal.com」がある。セキュリティ専門家のEric Johanson氏が先週末に開かれたShmooConというハッカーのイベントで注意を促したことに端を発する。

　IDNはその仕組み上、世界中の表現可能な言語すべてをドメイン名として使える。IDNを使えば「日本語.jp」などのドメイン名を使ってインターネット資源にアクセスできる。ブラウザは「日本語」という文字列をIDN用の文字列変換を施して英文字に変換後、JPドメインのDNS（ドメイン名解決サービス）に問い合わせる。

　そもそも多言語を使えるとフィッシングが起こるという意味は、フォントが似ているけれども異なる文字があるということだ。この問題はIDNの構想化当時から「似た文字問題」として認識されてきた。

　こうした背景から、特に言語圏が異なる文字同士のフォントが似ている問題を回避するための案として、ドメイン名管理事業向けに、同一言語圏の文字からなるドメイン名だけをDNSに登録するICANNガイドラインが作られている。ガイドラインの元になったRFC文書もある。

　JPRS社長室広報の渡辺俊雄氏はIDNのフィッシング詐欺への影響に関して2つの見解を示した。1つは、フィッシング詐欺はJPドメインではそもそも起こり得ない問題であること。2つ目は、COMドメインではフィッシングが起こり得るが、それはCOMドメインの問題であり、ウェブブラウザの機能を制限する論調になっていくのはよくないということ。

　JPドメインはICANNガイドラインに基付いてDNS登録のルールを運用している。日本語文字列でも英数字でもない文字ではJPドメインのDNSに登録できないのである。さらに、例えば「Ａ」と「ａ」と「A」と「a」はすべて「a」に変換してから登録するなど、文字の正規化を図っている。以上のルールにより、JPドメインでは似た文字問題が起こらない。異なる言語圏の文字を混ぜた場合、そもそもDNSに情報が登録されていないためだ。

　一方、COMドメインは世界中の文字が混在したドメイン名を受け付けるため、似た文字問題によるフィッシング詐欺が100％起こらないとは言い切れない。この点について渡辺氏は、「誰が登録しているかが分かるDNSに情報を登録してまでフィッシング詐欺を起こす業者はあまりいないだろう」という常識を示した。

　ブラウザの機能をOFFにしてIDNを使えなくすることは簡単にできる一方で、IDN が使えれば「商品名.jp」といったURLを使って情報にアクセスできる。IDNによるフィッシング問題をどう捉えるかはユーザーの判断に任せられている。