ファーミング：なりすましサイトにご用心

あなたの個人情報はいくら？

個人情報流出事故が後を絶ちません――。
流出した個人情報の累計は膨大な量になり、ドイツに本社を置くセキュリティ企業「G DATA Software」によると、ブラックマーケットにおいて、メールアドレスはもちろん、ネット決済やオンラインバンキングの情報を含んでいる数百M バイトの個人情報入りデータの価格は 1 万円前後まで下がっているといいます。

フィッシングとファーミング

フィッシング詐欺が横行しています。
フィッシング詐欺は、正規サイトを装った偽サイトにユーザーを誘導し、個人情報やクレジットカード番号を盗んだり、不当な料金を請求するものです。
ネット上で個人情報、とくにクレジットカード番号を入力する際には、かならずブラウザに表示される URL を確認することが必要です。

こうした対策が広く知られるようになり、フィッシング詐欺は古典的な方式になりました。
ところが、前述のG DATA Software」によれば、最近では個人情報を盗み出した後に消滅する「使い捨て型」のトロイの木馬をはじめ、ウェブサイトの表示内容を利用者に気が付かれないよう改変し、フォームの入力データなどを詐取する「Bancos」の亜種や「Neurech」などが多く利用されているといいます。
こうした新たな手口では、たとえば、楽天でショッピングするときは、買い物かごのアドレスはorder.step.rakuten.co.jpと正しく表示されるのに、楽天ではないサイトに接続してしまいます。これを「ファーミング^*」と呼びます。

ドメインを偽る方法

Windows では、hostsやlmhostsというファイルを使って、DNS^*を使わずにドメイン名^*を解決する手段を提供しています。しかも、DNS より優先されます。
したがって、lmhostsでrakuten.co.jpと偽の IP アドレスを紐づけてやれば、ブラウザ上にはrakuten.co.jpと表示されているのに、楽天ではないサイトへ接続させることができるようになるのです。
そして、hostsやlmhostsの書き換え作業を行うウイルスやスパイウェアが、実際に存在するのです。しかも、増加傾向にあるといいます。

2005 年春、windowsupdate.microsoft.comを含む、主なセキュリティ関係サイトのドメインが民主党のサイトに接続されるように設定されてしまうというファーミングが発生しました。Windows Update を実行しようとすると、民主党のホームページが表示されるという、不思議な状況に陥った方もいると思います。
Windows XP では、c:\windows\system32\drivers\etcにhostsファイルが存在します。標準状態では"localhost"の定義しかないのですが、もし"hosts"に"localhost"以外の設定があったり、lmhostsファイルがあったら、それがファーミングの犯人だと疑ってかかってください。

ただし、一部のアプリケーション、とくに業務用アプリケーションがこれらのファイルを利用することがあります。そこで、必ずしもウイルスの仕業とは言い切れないのですが、原因が特定できるまで気をつけた方が良いでしょう。

メールやサイトを閲覧しただけでルータDNSを書き換える

インターネットアクセスに利用しているブロードバンドルータにも DNS 機能があります。
2007 年 2 月 15 日、米シマンテックは、ユーザーが悪質な Web サイトを閲覧しただけでルータの DNS サーバ設定が変えられ、偽サイトに誘導されてしまうという新手の攻撃手法「Drive-By Pharming」について注意を呼び掛けました。
この攻撃では悪質な JavaScript を仕掛けた Web ページをユーザーが閲覧すると、クロスサイトリクエストフォージェリ（CSRF^*）という手口を使って悪質なコードがブラウザで実行され、ブロードバンドルータや無線アクセスポイントにログインされてしまいます。
多くのユーザーは、ルータのパスワードはデフォルトのまま変更していません。もしログインされると JavaScript によってルータの設定が変えられて、攻撃者が指定した DNS サーバをユーザーに利用させることが可能になります。

DNSキャッシュポイズニング

インターネット上にあるサーバーで、ドメイン名と IP アドレスの付け替えを行っているDNS^*に対して偽情報を紛れ込ませるDNS キャッシュポイズニングという手法も出回っています。セキュリティの脆弱な Windows Server ベースの DNS が狙われやすいとされています。
DNS キャッシュポイズニングに対して、われわれエンドユーザーは無策です。しかし、ほとんどのユーザーはプロバイダー加入と同時にプロバイダーが提供する DNS を使っていることでしょう。信頼のおけるプロバイダーであれば、DNS キャッシュポイズニング対策は行っているはずです。

ところが、2008 年 7 月 24 日、JPCERT/CCは、DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃を許す脆弱性があることを発表しました。多くの DNS が攻撃の対象となる可能性が高まりました。
この脆弱性を発見したセキュリティ研究者、ダン・カミンスキー氏によると、その影響は DNS キャッシュポイズニングにとどまらないといいます。また、対策を講じていないと、SSL証明書ですら安全でなくなります。これを「カミンスキー脆弱性」と呼んでいます。

2008 年 8 月 19 日、セキュリティ企業の Websense は、中国の大手インターネットサービスプロバイダーの China Netcom（中国網通）に DNS キャッシュポイズニング攻撃を仕掛けられ、ユーザーが悪質サイトへ誘導されていると伝えました。（China Netcom DNS cache poisoning）

その後、DNS の生みの親でノミナム社（米カリフォルニア州）を運営するポール・モカペトリス会長によれば、適切なパッチを当てても BIND（DNS の一種）は 10 時間で破られてしまったとのこと。根本的に解決するには、「DNSSEC」を導入するか、ノミナム社の「Vantio」というソフトウェアを導入する必要があるといいます。
いささか商売じみた発言ですが、既存技術では完全に守ることができないのは確かなようです。

SSL通信だからといって信用できない

このようにドメインが偽られている場合、サーバ認証は成立しません。そこで、個人情報を扱ったり、オンラインショッピングのサイトは、自分自身を正しさを証明するために必ずSSL通信（"https:"ではじまる）を行っています。SSL通信が成立している状況下では、いまのところ、なりすましサイトは発生していません。
逆に考えると、SSL通信していない状態で、個人情報、クレジットカード番号、パスワードといった情報を入力させるようなサイトは、たとえそれが正規のサイトであっても、利用しないのが無難です。そのようなサイトは、プライバシー保護に関する意識が低いと言わざるを得ないからです。

ただし、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えています。SSL を使っているから安心と考えていたら、実はその Web サイトがフィッシング・サイトだったということが起こっています。詳しくは「強化された SSL」を参照ください。
また、前述のように、DNS の脆弱性のため、SSL通信の信頼も揺らいでいます。

ファーミング対策－まとめ
アンチウイルスソフトを導入する。ルーターのログイン・パスワードを随時変更する。信頼のおけるプロバイダーの DNS を利用する。個人情報を入力するサイトは SSL通信で守られていることを確認する。