あなたの個人情報はいくら?
フィッシングとファーミング
フィッシング詐欺が横行しています。
フィッシング詐欺は、正規サイトを装った偽サイトにユーザーを誘導し、個人情報やクレジットカード番号を盗んだり、不当な料金を請求するものです。
ネット上で個人情報、とくにクレジットカード番号を入力する際には、かならずブラウザに表示されるURLを確認することが必要です。
こうした対策が広く知られるようになり、フィッシング詐欺は古典的な方式になりました。
ところが、前述のG DATA Software」によれば、最近では個人情報を盗み出した後に消滅する「使い捨て型」のトロイの木馬をはじめ、ウェブサイトの表示内容を利用者に気が付かれないよう改変し、フォームの入力データなどを詐取する「Bancos」の亜種や「Neurech」などが多く利用されているといいます。
こうした新たな手口では、たとえば、楽天でショッピングするときは、買い物かごのアドレスはorder.step.rakuten.co.jpと正しく表示されるのに、楽天ではないサイトに接続してしまいます。これを「ファーミング」と呼びます。
フィッシング詐欺は、正規サイトを装った偽サイトにユーザーを誘導し、個人情報やクレジットカード番号を盗んだり、不当な料金を請求するものです。
ネット上で個人情報、とくにクレジットカード番号を入力する際には、かならずブラウザに表示されるURLを確認することが必要です。
こうした対策が広く知られるようになり、フィッシング詐欺は古典的な方式になりました。
ところが、前述のG DATA Software」によれば、最近では個人情報を盗み出した後に消滅する「使い捨て型」のトロイの木馬をはじめ、ウェブサイトの表示内容を利用者に気が付かれないよう改変し、フォームの入力データなどを詐取する「Bancos」の亜種や「Neurech」などが多く利用されているといいます。
こうした新たな手口では、たとえば、楽天でショッピングするときは、買い物かごのアドレスはorder.step.rakuten.co.jpと正しく表示されるのに、楽天ではないサイトに接続してしまいます。これを「ファーミング」と呼びます。
ドメインを偽る方法
Windowsでは、hostsやlmhostsというファイルを使って、DNSを使わずにドメイン名を解決する手段を提供しています。しかも、DNSより優先されます。
したがって、lmhostsでrakuten.co.jpと偽のIPアドレスを紐づけてやれば、ブラウザ上にはrakuten.co.jpと表示されているのに、楽天ではないサイトへ接続させることができるようになるのです。
そして、hostsやlmhostsの書き換え作業を行うウイルスやスパイウェアが、実際に存在するのです。しかも、増加傾向にあるといいます。
2005年(平成17年)春、windowsupdate.microsoft.comを含む、主なセキュリティ関係サイトのドメインが民主党のサイトに接続されるように設定されてしまうというファーミングが発生しました。Windows Updateを実行しようとすると、民主党のホームページが表示されるという、不思議な状況に陥った方もいると思います。
Windows XPでは、c:\windows\system32\drivers\etcにhostsファイルが存在します。標準状態では"localhost"の定義しかないのですが、もし"hosts"に"localhost"以外の設定があったり、lmhostsファイルがあったら、それがファーミングの犯人だと疑ってかかってください。
ただし、一部のアプリケーション、とくに業務用アプリケーションがこれらのファイルを利用することがあります。そこで、必ずしもウイルスの仕業とは言い切れないのですが、原因が特定できるまで気をつけた方が良いでしょう。
したがって、lmhostsでrakuten.co.jpと偽のIPアドレスを紐づけてやれば、ブラウザ上にはrakuten.co.jpと表示されているのに、楽天ではないサイトへ接続させることができるようになるのです。
そして、hostsやlmhostsの書き換え作業を行うウイルスやスパイウェアが、実際に存在するのです。しかも、増加傾向にあるといいます。
2005年(平成17年)春、windowsupdate.microsoft.comを含む、主なセキュリティ関係サイトのドメインが民主党のサイトに接続されるように設定されてしまうというファーミングが発生しました。Windows Updateを実行しようとすると、民主党のホームページが表示されるという、不思議な状況に陥った方もいると思います。
Windows XPでは、c:\windows\system32\drivers\etcにhostsファイルが存在します。標準状態では"localhost"の定義しかないのですが、もし"hosts"に"localhost"以外の設定があったり、lmhostsファイルがあったら、それがファーミングの犯人だと疑ってかかってください。
ただし、一部のアプリケーション、とくに業務用アプリケーションがこれらのファイルを利用することがあります。そこで、必ずしもウイルスの仕業とは言い切れないのですが、原因が特定できるまで気をつけた方が良いでしょう。
メールやサイトを閲覧しただけでルータDNSを書き換える
インターネットアクセスに利用しているブロードバンドルータにもDNS機能があります。
2007年(平成19年)2月15日、米シマンテックは、ユーザーが悪質なWebサイトを閲覧しただけでルータのDNSサーバ設定が変えられ、偽サイトに誘導されてしまうという新手の攻撃手法「Drive-By Pharming」について注意を呼び掛けました。
この攻撃では悪質なJavaScriptを仕掛けたWebページをユーザーが閲覧すると、クロスサイトリクエストフォージェリ(CSRF)という手口を使って悪質なコードがブラウザで実行され、ブロードバンドルータや無線アクセスポイントにログインされてしまいます。
多くのユーザーは、ルータのパスワードはデフォルトのまま変更していません。もしログインされるとJavaScriptによってルータの設定が変えられて、攻撃者が指定したDNSサーバをユーザーに利用させることが可能になります。
2007年(平成19年)2月15日、米シマンテックは、ユーザーが悪質なWebサイトを閲覧しただけでルータのDNSサーバ設定が変えられ、偽サイトに誘導されてしまうという新手の攻撃手法「Drive-By Pharming」について注意を呼び掛けました。
この攻撃では悪質なJavaScriptを仕掛けたWebページをユーザーが閲覧すると、クロスサイトリクエストフォージェリ(CSRF)という手口を使って悪質なコードがブラウザで実行され、ブロードバンドルータや無線アクセスポイントにログインされてしまいます。
多くのユーザーは、ルータのパスワードはデフォルトのまま変更していません。もしログインされるとJavaScriptによってルータの設定が変えられて、攻撃者が指定したDNSサーバをユーザーに利用させることが可能になります。
DNSキャッシュポイズニング
インターネット上にあるサーバーで、ドメイン名とIPアドレスの付け替えを行っているDNSに対して偽情報を紛れ込ませるDNSキャッシュポイズニングという手法も出回っています。セキュリティの脆弱なWindows ServerベースのDNSが狙われやすいとされています。
DNSキャッシュポイズニングに対して、われわれエンドユーザーは無策です。しかし、ほとんどのユーザーはプロバイダー加入と同時にプロバイダーが提供するDNSを使っていることでしょう。信頼のおけるプロバイダーであれば、DNSキャッシュポイズニング対策は行っているはずです。
DNSキャッシュポイズニングに対して、われわれエンドユーザーは無策です。しかし、ほとんどのユーザーはプロバイダー加入と同時にプロバイダーが提供するDNSを使っていることでしょう。信頼のおけるプロバイダーであれば、DNSキャッシュポイズニング対策は行っているはずです。
ところが、2008年(平成20年)7月24日、JPCERT/CCは、DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃を許す脆弱性があることを発表しました。多くのDNSが攻撃の対象となる可能性が高まりました。
この脆弱性を発見したセキュリティ研究者、ダン・カミンスキー氏によると、その影響はDNSキャッシュポイズニングにとどまらないといいます。また、対策を講じていないと、SSL証明書ですら安全でなくなります。これを「カミンスキー脆弱性」と呼んでいます。
2008年(平成20年)8月19日、セキュリティ企業のWebsenseは、中国の大手インターネットサービスプロバイダーのChina Netcom(中国網通)にDNSキャッシュポイズニング攻撃を仕掛けられ、ユーザーが悪質サイトへ誘導されていると伝えました。
その後、DNSの生みの親でノミナム社(米カリフォルニア州)を運営するポール・モカペトリス会長によれば、適切なパッチを当ててもBIND(DNSの一種)は10時間で破られてしまったとのこと。根本的に解決するには、「DNSSEC」を導入するか、ノミナム社の「Vantio」というソフトウェアを導入する必要があるといいます。
いささか商売じみた発言ですが、既存技術では完全に守ることができないのは確かなようです。
この脆弱性を発見したセキュリティ研究者、ダン・カミンスキー氏によると、その影響はDNSキャッシュポイズニングにとどまらないといいます。また、対策を講じていないと、SSL証明書ですら安全でなくなります。これを「カミンスキー脆弱性」と呼んでいます。
2008年(平成20年)8月19日、セキュリティ企業のWebsenseは、中国の大手インターネットサービスプロバイダーのChina Netcom(中国網通)にDNSキャッシュポイズニング攻撃を仕掛けられ、ユーザーが悪質サイトへ誘導されていると伝えました。
その後、DNSの生みの親でノミナム社(米カリフォルニア州)を運営するポール・モカペトリス会長によれば、適切なパッチを当ててもBIND(DNSの一種)は10時間で破られてしまったとのこと。根本的に解決するには、「DNSSEC」を導入するか、ノミナム社の「Vantio」というソフトウェアを導入する必要があるといいます。
いささか商売じみた発言ですが、既存技術では完全に守ることができないのは確かなようです。
SSL通信だからといって信用できない
このようにドメインが偽られている場合、サーバ認証は成立しません。そこで、個人情報を扱ったり、オンラインショッピングのサイトは、自分自身を正しさを証明するために必ずSSL通信("https:"ではじまる)を行っています。SSL通信が成立している状況下では、いまのところ、なりすましサイトは発生していません。
逆に考えると、SSL通信していない状態で、個人情報、クレジットカード番号、パスワードといった情報を入力させるようなサイトは、たとえそれが正規のサイトであっても、利用しないのが無難です。そのようなサイトは、プライバシー保護に関する意識が低いと言わざるを得ないからです。
ただし、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えています。SSLを使っているから安心と考えていたら、実はその Web サイトがフィッシング・サイトだったということが起こっています。詳しくは「強化されたSSL」を参照ください。
また、前述のように、DNSの脆弱性のため、SSL通信の信頼も揺らいでいます。
逆に考えると、SSL通信していない状態で、個人情報、クレジットカード番号、パスワードといった情報を入力させるようなサイトは、たとえそれが正規のサイトであっても、利用しないのが無難です。そのようなサイトは、プライバシー保護に関する意識が低いと言わざるを得ないからです。
ただし、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えています。SSLを使っているから安心と考えていたら、実はその Web サイトがフィッシング・サイトだったということが起こっています。詳しくは「強化されたSSL」を参照ください。
また、前述のように、DNSの脆弱性のため、SSL通信の信頼も揺らいでいます。
ファーミング対策-まとめ
- アンチウイルスソフトを導入する。
- ルーターのログイン・パスワードを随時変更する。
- 信頼のおけるプロバイダーのDNSを利用する。
- 個人情報を入力するサイトはSSL通信で守られていることを確認する。
参考サイト
- サーバ証明書を確認する:ぱふぅ家のホームページ
- 強化されたSSL:ぱふぅ家のホームページ
- DNSの生みの親・モカペトリス氏が語る、キャッシュポイズニング脆弱性の現状
- Web安全神話を揺るがすDNSの脆弱性、影響は想像以上:ITmedia
- 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起:JPCERT/CC
- hostsとlmhostsの違い:@IT
- pharming(ファーミング)
- ドライブバイ・ファーミング(Drive-By Pharming):ITpro
- CompTIA、急増するファーミング攻撃に警鐘:ITmedia
- ルータのDNS設定を狙う新たなファーミング攻撃発見:ITmedia
(この項おわり)
流出した個人情報の累計は膨大な量になり、ドイツに本社を置くセキュリティ企業「G DATA Software」によると、不正に入手した個人情報の低価格化が進んでいるとのこと。
2008年(平成20年)は金銭目的としたサイバー犯罪が一般化した1年となり、銀行アクセスデータであれば日本円に換算して約800円弱から5万円前後。偽造防止コードに関する情報を含むクレジットカード情報も100件あたり約5,000円から1万円程度。さらに通常のクレジットカード情報であれば、1,000件でわずか4万円から8万円弱、メールアドレスに至っては、1Mバイト数十円から提供されているとのことです。