ファーミング:なりすましサイトにご用心

(1/1)

あなたの個人情報はいくら?

個人情報流出事故が後を絶ちません――。
流出した個人情報の累計は膨大な量になり、ドイツに本社を置くセキュリティ企業「G DATA Software」によると、不正に入手した個人情報の低価格化が進んでいるとのこと。
2008 年(平成 20 年)は金銭目的としたサイバー犯罪が一般化した 1 年となり、銀行アクセスデータであれば日本円に換算して約 800 円弱から 5 万円前後。偽造防止コードに関する情報を含むクレジットカード情報も 100 件あたり約 5,000 円から 1 万円程度。さらに通常のクレジットカード情報であれば、1,000 件でわずか 4 万円から 8 万円弱、メールアドレスに至っては、1M バイト数十円から提供されているとのことです。

フィッシングとファーミング

フィッシング詐欺が横行しています。
フィッシング詐欺は、正規サイトを装った偽サイトにユーザーを誘導し、個人情報やクレジットカード番号を盗んだり、不当な料金を請求するものです。
ネット上で個人情報、とくにクレジットカード番号を入力する際には、かならずブラウザに表示される URL を確認することが必要です。

こうした対策が広く知られるようになり、フィッシング詐欺は古典的な方式になりました。
ところが、前述のG DATA Software」によれば、最近では個人情報を盗み出した後に消滅する「使い捨て型」のトロイの木馬をはじめ、ウェブサイトの表示内容を利用者に気が付かれないよう改変し、フォームの入力データなどを詐取する「Bancos」の亜種や「Neurech」などが多く利用されているといいます。
こうした新たな手口では、たとえば、楽天でショッピングするときは、買い物かごのアドレスはorder.step.rakuten.co.jpと正しく表示されるのに、楽天ではないサイトに接続してしまいます。これを「ファーミング」と呼びます。
ファーミングの概念

ドメインを偽る方法

Windows では、hostslmhostsというファイルを使って、DNSを使わずにドメイン名を解決する手段を提供しています。しかも、DNS より優先されます。
したがって、lmhostsrakuten.co.jpと偽の IP アドレスを紐づけてやれば、ブラウザ上にはrakuten.co.jpと表示されているのに、楽天ではないサイトへ接続させることができるようになるのです。
そして、hostslmhostsの書き換え作業を行うウイルスやスパイウェアが、実際に存在するのです。しかも、増加傾向にあるといいます。

2005 年(平成 17 年)春、windowsupdate.microsoft.comを含む、主なセキュリティ関係サイトのドメインが民主党のサイトに接続されるように設定されてしまうというファーミングが発生しました。Windows Update を実行しようとすると、民主党のホームページが表示されるという、不思議な状況に陥った方もいると思います。
Windows XP では、c:\windows\system32\drivers\etchostsファイルが存在します。標準状態では"localhost"の定義しかないのですが、もし"hosts"に"localhost"以外の設定があったり、lmhostsファイルがあったら、それがファーミングの犯人だと疑ってかかってください。

ただし、一部のアプリケーション、とくに業務用アプリケーションがこれらのファイルを利用することがあります。そこで、必ずしもウイルスの仕業とは言い切れないのですが、原因が特定できるまで気をつけた方が良いでしょう。

メールやサイトを閲覧しただけでルータDNSを書き換える

インターネットアクセスに利用しているブロードバンドルータにも DNS 機能があります。
2007 年(平成 19 年)2 月 15 日、米シマンテックは、ユーザーが悪質な Web サイトを閲覧しただけでルータの DNS サーバ設定が変えられ、偽サイトに誘導されてしまうという新手の攻撃手法「Drive-By Pharming」について注意を呼び掛けました。
この攻撃では悪質な JavaScript を仕掛けた Web ページをユーザーが閲覧すると、クロスサイトリクエストフォージェリ(CSRF)という手口を使って悪質なコードがブラウザで実行され、ブロードバンドルータや無線アクセスポイントにログインされてしまいます。
多くのユーザーは、ルータのパスワードはデフォルトのまま変更していません。もしログインされると JavaScript によってルータの設定が変えられて、攻撃者が指定した DNS サーバをユーザーに利用させることが可能になります。

DNSキャッシュポイズニング

毒
インターネット上にあるサーバーで、ドメイン名と IP アドレスの付け替えを行っているDNSに対して偽情報を紛れ込ませるDNS キャッシュポイズニングという手法も出回っています。セキュリティの脆弱な Windows Server ベースの DNS が狙われやすいとされています。
DNS キャッシュポイズニングに対して、われわれエンドユーザーは無策です。しかし、ほとんどのユーザーはプロバイダー加入と同時にプロバイダーが提供する DNS を使っていることでしょう。信頼のおけるプロバイダーであれば、DNS キャッシュポイズニング対策は行っているはずです。
ところが、2008 年(平成 20 年)7 月 24 日、JPCERT/CCは、DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃を許す脆弱性があることを発表しました。多くの DNS が攻撃の対象となる可能性が高まりました。
この脆弱性を発見したセキュリティ研究者、ダン・カミンスキー氏によると、その影響は DNS キャッシュポイズニングにとどまらないといいます。また、対策を講じていないと、SSL証明書ですら安全でなくなります。これを「カミンスキー脆弱性」と呼んでいます。

2008 年(平成 20 年)8 月 19 日、セキュリティ企業の Websense は、中国の大手インターネットサービスプロバイダーの China Netcom(中国網通)に DNS キャッシュポイズニング攻撃を仕掛けられ、ユーザーが悪質サイトへ誘導されていると伝えました。(China Netcom DNS cache poisoning

その後、DNS の生みの親でノミナム社(米カリフォルニア州)を運営するポール・モカペトリス会長によれば、適切なパッチを当てても BIND(DNS の一種)は 10 時間で破られてしまったとのこと。根本的に解決するには、「DNSSEC」を導入するか、ノミナム社の「Vantio」というソフトウェアを導入する必要があるといいます。
いささか商売じみた発言ですが、既存技術では完全に守ることができないのは確かなようです。

SSL通信だからといって信用できない

このようにドメインが偽られている場合、サーバ認証は成立しません。そこで、個人情報を扱ったり、オンラインショッピングのサイトは、自分自身を正しさを証明するために必ずSSL通信("https:"ではじまる)を行っています。SSL通信が成立している状況下では、いまのところ、なりすましサイトは発生していません。
逆に考えると、SSL通信していない状態で、個人情報、クレジットカード番号、パスワードといった情報を入力させるようなサイトは、たとえそれが正規のサイトであっても、利用しないのが無難です。そのようなサイトは、プライバシー保護に関する意識が低いと言わざるを得ないからです。

ただし、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えています。SSL を使っているから安心と考えていたら、実はその Web サイトがフィッシング・サイトだったということが起こっています。詳しくは「強化された SSL」を参照ください。
また、前述のように、DNS の脆弱性のため、SSL通信の信頼も揺らいでいます。

ファーミング対策-まとめ

  • アンチウイルスソフトを導入する。
  • ルーターのログイン・パスワードを随時変更する。
  • 信頼のおけるプロバイダーの DNS を利用する。
  • 個人情報を入力するサイトは SSL通信で守られていることを確認する。

参考サイト

参考書籍

表紙 情報セキュリティ読本 4訂版
著者 独立行政法人情報処理推進機構(IPA)
出版社 実教出版
サイズ 単行本
発売日 2012年12月30日
価格 540円(税込)
rakuten
ISBN 9784407330762
 
表紙 体系的に学ぶインターネットセキュリティ
著者 神崎洋治/西井美鷹
出版社 日経BPソフトプレス
サイズ 単行本
発売日 2008年01月
価格 1,944円(税込)
rakuten
ISBN 9784891005641
インターネット、ネットワークのさまざまな技術とセキュリティのしくみ、対策をわかりやすく解説。
 
表紙 わかるインターネットセキュリティ
著者 御池鮎樹
出版社 工学社
サイズ 単行本
発売日 2006年03月
価格 1,728円(税込)
rakuten
ISBN 9784777512027
 
(この項おわり)
header