DNSサーバーに毒を盛る恐怖の攻撃

正しいURLなのに偽サイトに飛ばされる「ファーミング」とは？

2010年01月20日 09時00分更新

文● 遠藤哲

Q. 「ファーミング」って何ですか？

A. ユーザーにメールを送るといった働きかけをせず、偽Webサイトに誘導する手口のことです。

正規サイトへのアクセスを「すり替える」

　ファーミング（pharming）とは、DNSサーバーの情報やユーザーのPCの設定を書き換え、偽のWebサイトへ誘導する手口である。名前の由来は、偽サイトへ誘導するための準備を行ない（種まき）、偽サイトに訪問者を誘導し収穫を得ることから、「農業（farming）」にたとえたとされている。

　偽サイトに誘導するという点ではフィッシング詐欺と同じ詐欺の手口だが、その誘導の方法が少々異なる。フィッシング詐欺は、金融機関などの正規の企業に偽装したメールでユーザーの興味を引き、メールに記載されているURLから偽サイトに誘導する。一方ファーミングは、ドメイン名からIPアドレスを割り出す「名前解決」の情報を細工し、ユーザーに気づかれることなく偽サイトへ誘導する。ユーザーに対してメールを送るといった直接的な働きかけをまったくしないので、ユーザーは正規のサイトにアクセスしているつもりで、偽サイトに誘導されていることに気づきにくいという特徴がある。

　直接ユーザーに働きかけずに偽サイトへ誘導できるとは、なかなか実感できないだろう。そこで、ファーミングの脅威について自分のPCでできる簡単な実験をしてみよう。

　Windowsは名前解決の順番として、まず「hosts」ファイルを参照し、そこで一致するものがなければDNSで名前解決を行なう。hostsファイルには初期値としてローカルループアドレスと呼ばれる「127.0.0.1」と「localhost」と名前に関連付けられている。localhostの名前解決は、hostsファイルの内容により、127.0.0.1と解決されるわけだ。

　たとえばここに、自分のPCのIPアドレスと「www.google.co.jp」を対応付けた1行を加えて保存してみよう。hostsファイルはテキストベースのファイルなのでメモ帳で簡単に編集できる。

hostsファイルに偽サイトを登録

　さて保存したら、WebブラウザからURLに「http://www.google.co.jp/」と入力しても、アクセスできないはずだ。これはwww.google.co.jpというドメイン名をhostsファイルに見つけ、先ほど追加したIPアドレス（自分自身）へHTTPでアクセスしているためだ。試しに、他のサイトのURL（たとえば「http://www.yahoo.co.jp/」）と入力すると正常に表示されるはずだ。

Googleにアクセスできなくなる

　インターネットへのアクセスはまったく普段と変わらないのだが、Googleのサイトにだけアクセスできない。もし、hostsファイルに追加したIPアドレスのPCでWebサーバーが起動していれば、そのサイトが表示される。入力したURLも表示しているURLも正しいのに、まったく別のWebサイトの情報が表示されるのである。