[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

NOTWORK.JP-SA:050401-00 JPRSのIDN実装上の日本語文字集合類似字形の問題

--------------------------------------------------------------------------------
NOTWORK.JP-SA:050401-00                                       Shoumonai Advisory
                                                                      NOTWORK.JP

トピック:         JPRSのIDN実装上の日本語文字集合類似字形の問題
分類:             運用
公開URL:          http://sa.notwork.jp/2005/NOTWORK.JP-SA:050401-00.html
公表日:           2005年4月1日
文責:             sa at notwork.jp
影響範囲:         全てのユーザ
文書バージョン:   1.0


I. 背景 - Background
日本語で使われている文字には例えば日と曰など「違う文字」だが「形が似ている」
文字が複数存在している。
現在のJPRSのIDN実装において「日本語文字集合における類似字形」のチェックは
行われていないため、類似字形を用いた「にせドメイン」を取得し、エンドユーザ
に対してドメインを誤認させることが可能である。


II. 問題の詳細 - Problem Description

以下に複数例を挙げる

正) http://日本語.jp/
誤) http://曰本語.jp/

正) http://日本レジストリサービス.jp/
誤) http://曰本レジストリサービス.jp/
誤) http://日本レジストリサ一ビス.jp/

上記は表示装置の解像度が適切に設定され適切なフォントおよび適切な文字サイズを
用いて見れば容易に判別可能であるが、たとえばhtml 文中のリンクとして用いられた
場合など、フォントや文字サイズの指定を強制されるような場合には、そのままでは
識別できない可能性がある。

なお当問題は厳密にいえばIDN固有の問題ではない。
既に広く使われているASCIIドメイン名にも"l"(エル)と"1"(イチ)、"O"(オー)と
"0"(ゼロ)などの同様に類似字形問題が存在する。しかしながらIDN導入に伴い
URLで用いることが出来る類似字形の組み合わせが増大するのもまた事実である。

また上記例は全て日本語文字集合のみで構成されており、JETガイドライン(RFC3743)
やICANNガイドライン(http://www.icann.org/general/idn-guidelines-20jun03.htm)
で推奨されているとされる"登録可能な文字集合を定義"することでは回避出来ない。


III. 影響範囲 - Impact
影響する範囲としては以下が考えられる

・ソフトウェア利用の際にIDNを使用するエンドユーザ
・ドメイン名を取得しサイトを運営するドメイン利用者
・ドメイン名を使用するソフトウェア
・レジストリ(JPRS)

IV. 回避方法 - Workaround


エンドユーザ

・ドメイン名をブラウザ等のアプリからコピーし、フォント種類やサイズを
  変更できるアプリケーションにペーストし、類似字形を識別しやすい
  フォントに変更するなどして確認を行う。場合によっては文字コード
  確認ツールを用いて"類似字形"でないことを確認する。
・視力の問題により類似字形の識別が困難な場合には視力矯正器具(眼鏡等)
  を使用する
・IDN の利用は停止する

ドメイン利用者

・IDNを既に利用しており、類似字形での誤認されるパターンが有る場合には
  想定しうる全てのパターンのドメインを全て取得しておく
・IDNの利用を停止し、IDNを使用していないことを宣言し広報する

ソフトウェア開発者

・ドメイン名の表示箇所で使用するフォントに類似文字を識別しやすいフォントを
  採用する またドメイン名の表示文字サイズを大きくする
・ドメイン名のスペルチェックを行えるようにする
・ドメイン名の使われている文字に類似字形文字のチェックを行えるようにする

なお議論の余地があるだろうが、ドメイン名を表示する際にpunycode変換後の文字列
を表示するという手法(mozilla/firefox で採用)では、エンドユーザが上記のような
チェックを行いにくくなると考えられる。


V. 解決策および現状 - Solution and Present situation

解決策としてレジストリ(JPRS)が取りうる選択肢は以下の通りであると考えられる。

・類似字形を用いたドメイン名を取得できなくする
・類似字形を用いたドメイン名の申請は即時取得ではなく審査を行い妥当な
  利用目的なものでない限り許可しないようにする


しかしながら当件に関しJPRS に対して問い合わせ([JPRS info #63129])
を行ったところJPRSは下記のような見解を持っていることが分かった。



1. JPRSで登録可能な文字として定義している文字については、全て異なる文字として
   登録を受け付けているので、結果として日本語文字に有る"見た目に似た文字列"を
   登録することは可能である

2. JPRSとしては"見た目に似た文字列"を取得できること自体は問題ではなく
   "見た目に似た文字列を使用して取得したドメインで混同を招ような使用"をするこ
   とが問題であると考えている

3. JPRSは"見た目に似た文字列"を不正な目的で使用されている場合にはJPドメイン名
   紛争処理方針(JP-DRP)に従い基づき解決を図ることが出来ると考えている

4. JPRSとしてはWHOISに登録情報が公開されるため、見た目に似たドメイン名の悪用
   を前もって牽制することができると考えている



よってレジストリによる対応は望み薄であり、エンドユーザ、ドメイン利用者
およびアプリケーション開発者は当該「問題」に留意して多言語ドメインを
利用する必要があると考えられる。


VI. 当文書の文責および著作権について

Copyright 2005 NOTWORK.JP All rights reserved.

本文書は以下の条件を満たす限りにおいて、再配布および使用を許可します。

1. 本文書の発行日付の意味をよく理解していること :)
2. 再配布する場合にはこの項に書かれた内容を必ずそのまま含めること

本文書はNOTWORK.JP によって”現状のまま” 提供されるものとします
本文書については明示黙示を問わず、正確であるとの保証も、特定の目的に適合
するとの保証を含め、何の保証もなされません。
事由のいかんを問わず、 損害発生の原因いかんを問わず、且つ、責任の根拠が
契約であるか厳格責任であるか (過失その他) 不法行為であるかを問わず、
直接損害、間接損害、偶発的な損害、 特別損害、懲罰的損害または結果損害の
いずれに対しても責任をいっさい負いません。


参考.
Multiple Browsers IDN Spoofing Test
http://secunia.com/multiple_browsers_idn_spoofing_test/

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について
- 既に対策は存在し、.JPはサービス開始当初より対策済み -
http://日本語.jp/access/phishing.html

日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか
http://www.nantoka.com/~kei/diary/?200502c&to=200502213#200502213

続・日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか
http://www.nantoka.com/~kei/diary/?200502c&to=200502252#200502252

IDN(多言語ドメイン・日本語ドメイン)での"見た目に似た文字列"
http://unixluser.org/diary/?200503a&to=200503085#200503085
http://www.nantoka.com/~kei/diary/?200503a&to=200503081#200503081

国際化ドメイン名のフィッシング詐欺脆弱性指摘に関する各組織の動向
http://www.jdna.jp/survey/phishing/

--------------------------------------------------------------------------------