このページの本文へ

前へ 1 2 次へ

Q&Aで理解する情報セキュリティ ― 第4回

DNSサーバーに毒を盛る恐怖の攻撃

正しいURLなのに偽サイトに飛ばされる「ファーミング」とは?

2010年01月20日 09時00分更新

文● 遠藤哲

  • この記事をはてなブックマークに追加
  • 本文印刷

Q. 「ファーミング」って何ですか?

A. ユーザーにメールを送るといった働きかけをせず、偽Webサイトに誘導する手口のことです。

正規サイトへのアクセスを「すり替える」

 ファーミング(pharming)とは、DNSサーバーの情報やユーザーのPCの設定を書き換え、偽のWebサイトへ誘導する手口である。名前の由来は、偽サイトへ誘導するための準備を行ない(種まき)、偽サイトに訪問者を誘導し収穫を得ることから、「農業(farming)」にたとえたとされている。

 偽サイトに誘導するという点ではフィッシング詐欺と同じ詐欺の手口だが、その誘導の方法が少々異なる。フィッシング詐欺は、金融機関などの正規の企業に偽装したメールでユーザーの興味を引き、メールに記載されているURLから偽サイトに誘導する。一方ファーミングは、ドメイン名からIPアドレスを割り出す「名前解決」の情報を細工し、ユーザーに気づかれることなく偽サイトへ誘導する。ユーザーに対してメールを送るといった直接的な働きかけをまったくしないので、ユーザーは正規のサイトにアクセスしているつもりで、偽サイトに誘導されていることに気づきにくいという特徴がある。

 直接ユーザーに働きかけずに偽サイトへ誘導できるとは、なかなか実感できないだろう。そこで、ファーミングの脅威について自分のPCでできる簡単な実験をしてみよう。

 Windowsは名前解決の順番として、まず「hosts」ファイルを参照し、そこで一致するものがなければDNSで名前解決を行なう。hostsファイルには初期値としてローカルループアドレスと呼ばれる 「127.0.0.1」と「localhost」と名前に関連付けられている。localhostの名前解決は、hostsファイルの内容により、127.0.0.1と解決されるわけだ。

 たとえばここに、自分のPCのIPアドレスと「www.google.co.jp」を対応付けた1行を加えて保存してみよう。hostsファイルはテキストベースのファイルなのでメモ帳で簡単に編集できる。

hostsファイルに偽サイトを登録

 さて保存したら、WebブラウザからURLに「http://www.google.co.jp/」と入力しても、アクセスできないはずだ。これはwww.google.co.jpというドメイン名をhostsファイルに見つけ、先ほど追加したIPアドレス(自分自身)へHTTPでアクセスしているためだ。試しに、他のサイトのURL(たとえば「http://www.yahoo.co.jp/」)と入力すると正常に表示されるはずだ。

Googleにアクセスできなくなる

 インターネットへのアクセスはまったく普段と変わらないのだが、Googleのサイトにだけアクセスできない。もし、hostsファイルに追加したIPアドレスのPCでWebサーバーが起動していれば、そのサイトが表示される。入力したURLも表示しているURLも正しいのに、まったく別のWebサイトの情報が表示されるのである。

実際に表示されたサイト

 いかがであろう。ファーミングの怖さを実感できたのではないかと思う。なお、実験した後は忘れずに、hostsファイルを元に戻しWindowsを再起動してほしい。

 今回実験に使用したPCは、Windows XP Professional SP3である。Windows Vistaで試してみるとhostsファイルを書き換えられなかった。Vistaユーザーはひとまず安心である。

 しかしながら、企業においてWindows Vistaの導入があまり進んでいないと聞いている。Windows XPを利用している企業なら、この実験ができるはずであり、それはhostsファイルを書き換えられたら気づかずに偽サイトへ誘導される危険があるということである。

 ここではユーザーのPCの設定ファイルを書き換える手口を紹介したが、ファーミングの手口には個々のPCを狙ったものばかりではなくDNSサーバーを狙った攻撃もある。次はDNSサーバーを狙った手口を紹介しよう。

(次ページ、「DNSサーバーに毒を盛る」に続く)


 

前へ 1 2 次へ

この連載の記事
ピックアップ