NEWS （05/02/16　18:40）

「SpoofStick」v1.05

　国際化ドメイン名（以下、IDN）を悪用したフィッシング詐欺の防止に役立つ「Firefox」用プラグイン「SpoofStick」v1.05が、10日に公開された。「Firefox」専用のフリーソフトで、編集部にて試用したところWindows XP上の「Firefox 日本語版」v1.0上で動作することを確認した。現在作者のホームページからダウンロードできる。なお同作者のWebサイトでは、本プラグインのIE版も公開されており、IEツールバー上に閲覧ページのドメイン名を表示できる。

　「SpoofStick」は、閲覧Webページのドメイン名をツールバー部分に大きく表示し、IDNを悪用したフィッシング詐欺の防止に役立つ「Firefox」用プラグイン。インストール後にまず、「Firefox」の“ツールバーのカスタマイズ”ダイアログを［表示］メニューから呼び出し、本プラグインのアイコンをツールバー内の任意の場所にドラッグ＆ドロップしよう。

　すると、現在閲覧中のWebページのドメイン名がツールバーに大きな文字で表示されるようになる。たとえば窓の杜のトップページや記事ページを表示すると、ツールバー部分に“You're on impress.co.jp”と表示され、窓の杜内のコンテンツが“impress.co.jp”上にあることをすばやく確認可能。

　また本プラグインを利用することで、デンマークのセキュリティベンダー会社Secuniaが7日（現地時間）に報告した、国際化ドメイン名の盲点をついたURL偽装の問題にも対処できる。

　国際化ドメイン名のURLには、WebブラウザーがアクセスするためのURLが別途割り当てられている。たとえば“http://www.paypаl.com/”（一部キリル文字）にアクセスした場合、実際は“http://www.xn--paypl-7ve.com/”というURLにアクセスしている仕組み。本プラグインは、実際にアクセスしている“http://www.xn--paypl-7ve.com/”のドメイン名を正確に表示するため、国際化ドメイン名を悪用したWebサイトに出くわした際はすぐに気が付くだろう。

　なお、本プラグインのみでフィッシング詐欺を完全に防止できるわけではないが、Webフォームにクレジットカード番号を入力する場合などに、本プラグインが表示しているドメイン名で閲覧ページの真偽を確認するように心がければ、URL偽装によるフィッシング詐欺の防止へとつながるだろう。また、クロスサイトスクリプティングも併用する悪質なWebサイトになると、ドメイン名だけでは安全性を確認できないので注意。

【著作権者】CoreStreet Ltd.
【対応OS】（編集部にてWindows XPで動作確認）
【ソフト種別】フリーソフト
【バージョン】1.05（05/02/10）

□CoreStreet, Ltd.
http://www.corestreet.com/
□窓の杜 - 【NEWS】Mozilla/Firefox/Operaなどに国際化ドメイン名の盲点をついたURL偽装の問題
http://www.forest.impress.co.jp/article/2005/02/08/misuseidn.html
□窓の杜 - Firefox
http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/firefox.html

（中井 浩晶）