Q.
先日、新聞に『ファーミング詐欺』の被害について記載されていましたが、ファーミング詐欺ってフィッシング詐欺とはまた違う詐欺なんですか?また、被害に遭わないようにするには、どんなことに注意したらいいのでしょうか?
A.
オンラインサービスは、インターネットの進化とともに、オンラインによる商品の購入やバンキングを利用するユーザーもかなり増え、消費者には、とても便利なツールになったことと思います。また、その一方では、個人情報の漏洩などの問題も多く、知らぬ間に個人の重要情報が第三者の手に渡ってしまい、詐欺などの被害に遭ってしまったという話も少なくありません。
以前、メールなどにエサを仕掛け、偽のウェブサイトにユーザーを誘導し、パスワードやクレジットカードの番号、銀行の暗証番号などの重要個人情報を騙し取って使用してしまうという『フィッシング詐欺』について説明をしました。(フィッシング詐欺については、『フィッシング詐欺編』を参照してください。)
さて、2004年の終わり頃から今年の初め頃に、米国内で『ファーミング詐欺』と呼ばれる、新手のオンライン詐欺が登場しました。今のところ、この詐欺の被害に関しては、あまり多く報告されていませんが、その手口から、今後、被害が増大し大きな脅威になる可能性があると言われています。新手のオンライン詐欺は、「釣り」よりも量産が可能な「農場」へと進化していったということなのでしょうか。
今回は、このファーミング詐欺とその予防策について簡単に説明しましょう。
■ ファーミング詐欺とは…
ファーミング詐欺とは、いったいどんな詐欺行為なのでしょうか。基本的には、フィッシング詐欺と同じくオンライン詐欺の一種で、インターネット上に偽装ウェブサイトを作成し、ユーザーをそこに誘導して重要個人情報を盗み出す詐欺行為です。ただ、その手口が、大胆な規模であることから、フィッシング詐欺の進化形などとも言われています。つまり、ファーミングは、フィッシングのように一人ずつ釣りあげていくのではなく、大量にまとめて獲物を収穫してしまうといったやり方ということです。
ネーミングについては、フィッシングがその手口から「釣り」のFishingをもとに、「洗練された」という「sophisticated」の"Ph"を混ぜた造語で、Phishingとスペルするのと同様に、ファーミングも「農場で栽培する、飼育する、養殖する」などのFarmingとsophisticatedから作られた造語で、Pharmingとスペルします。
余談になりますが、医薬品成分を含んだ遺伝子の組み換えられた植物を栽培することなどもPharmingと呼んでいるようです。ちなみにこの場合は、「栽培する」のFarmと「薬学」のPharmacyからできた造語と言われています。詐欺とは大違いです。
では、ファーミング詐欺とは具体的にどうすることなのでしょうか。
■ ファーミング詐欺の仕組み
この詐欺は、フィッシング詐欺のようにメールに偽ウェブサイトのリンクを付けて送り、ソーシャルエンジニアリングなどのテクニックを使いユーザーを偽サイトに誘導していくのではなく、インターネットのDNS(Domain Name System)やPeer-to-Peer(P2P)などにあるセキュリティーホールなどを使って個人情報を騙し取るという大胆な詐欺行為です。フィッシング詐欺との大きな違いは、フィッシングの場合は、メールなどで「エサ」を送りつけ、被害者を釣りあげるのですが、ファーミングの場合は、コンピューターに「種」を蒔き、一気に収穫していくということです。
ファーミング詐欺には、2つの方法があると言われています。
まず、「DNSポイズニング」と呼ばれる、DNSサーバー自体を狙う方法です。これは、DNSサーバーに偽の情報をキャッシュさせ、偽ウェブサイトにアクセスさせるというやり方です。ISP(Internet Service Provider)など企業で管理されているDNSサーバーを直接攻撃し、ポイズン(毒)を埋め込む訳ですから、これをおこなうハッカーたちもかなり高度なスキルをもった連中が多いということになります。
ここで、DNSとは何かを簡単に説明しておきましょう。DNSとは、ドメイン・ネーム・システムの略で、インターネット上でホスト名とIPアドレスを対応させるシステムのことを言います。例えば、ここメープルタウンのサイトにアクセスしようとした場合、アドレスバーにこのサイトのURL(Uniform Resource Locator)である www.mapletown.ca を入力します。するとDNSサーバーは、このホスト名からこのホストのIPアドレスのあるサーバーを指示してくれて、そこまで案内をしてくれるという訳です。
つまり、DNSポイズニングは、このDNSサーバーの情報を書き換え、DNSが正規のアドレスを指示できないようにしてしまい、本来アクセスしようとしたサイトとは違う偽装ウェブサイトに案内させてしまうというものです。
もう一つは、ウィルスなどを使用し、一般ユーザーのコンピューター内のホストファイル(オペレーティングシステム内のDNSサーバーのようなもの)を書き換えるという方法です。どういう事かというと、現在、多数のユーザーが利用しているIM(Instant Messaging)やP2Pアプリケーションを利用してコンピューターに施したセキュリティー網をうまく潜りぬけ、コンピューター内にウィルスやトロイの木馬、または、スパイウェアなどを仕込みます。更に、送り込まれたそれらの悪意のあるプログラムは、OS(オペレーティングシステム)が使用するホストファイルの中に本物そっくりに作った偽装ウェブサイトにアクセスさせるIPアドレスを設定します。実際に、ユーザーが金融機関などのウェブサイトにアクセスしようとしてホスト名を入力すると、その書き換えられた偽装サイトが表示されるといった具合です。
解り易くいうと、どちらも正規のURLをアドレスバーに入力しても、自動的に偽装サイトへ誘導されてしまうということです。このように、手口からユーザーは、てっきり本物のウェブサイトにアクセスしているものと勘違いをしてしまい、なんの疑いもなくカード番号や暗証番号などの重要個人情報を入力してしまうという訳です。つまり、ほとんどのユーザーは、騙されていることにさえ気がついていないのが現状なのです。
■ ファーミング詐欺の予防対策
ファーミング詐欺の厄介なところは、ユーザーが正規のURLを入力したにもかかわらず、知らないうちに偽装ウェブサイトへ誘導されてしまうというところでしょう。ファーマー(ファーミング詐欺を仕掛けた詐欺師)たちの巧妙な詐欺のテクニックから完全に守りきれる対策方法は、ないかも知れませんが、一応、現段階で有効とされている予防法を説明します。
まず、これはすでに、コンピューターユーザーの常識となっていることですが、ウィルスなどによってホストファイルを書き換えられないようにするためにも、ウィルス対策は、必ず実施しておくということです。Windows Updateも忘れずに実行し、OSなどのセキィリティーホールは、必ずふさいでおかなくてはなりません。なお、一般的なセキュリティーの対策方法は、『セキュリティー対策編』を参照してください。
また、ウィルスは、メールに添付され送り込まれることも多くありますので、むやみやたらに添付ファイルを開かないように心がけましょう。これに関しては、『ウィルスの感染経路編』を参考にしてください。更に、フリーソフトなどをダウンロードしてインストールする場合も、スパイウェアが混入されていないかどうかなどの情報を事前に調べてからインストールするようにしてください。
さて次に、仮に偽装サイトへ誘導されてしまった場合、あるいは、それすらどうなのか分からない場合ですが、その際は、クレジットカードの番号や暗証番号などの重要個人情報を入力する前に、そのページがSSL(Secure Socket Layer)という暗号化で保護されているかを確認してください。これは、『フィッシング詐欺編』のところでも説明しましたが、もし、SSLで保護されているサイトの場合は、ブラウザウィンドウのステータスバーの右端部分に鍵(錠前の)の形をしたアイコンが表示されますので、念のため、それをダブルクリックして「セキュリティー証明書」を確認しましょう。また、このアイコンが表示されない場合は、暗号化で保護されていないものと理解してください。
更に、もし、この作業をおこなう以前に、画面に自動的にセキュリティー警告のダイアログが出てきた場合は、特に『要注意』です。つまり、SSLの暗号化を使用する場合は、公的な機関が審査をし、発行した「デジタル証明書」が必要となる訳ですが、偽装サイトでは、この証明を得ることができません。もし、偽装サイトが、他のサイトのデジタル証明書を勝手に使用していたり、偽造したデジタル証明書などを使用していたりする場合は、「セキュリティー証明書の名前が無効であるか、またはサイト名と一致しません」あるいは、「このセキュリティー証明書は、信頼する会社から発行されていません」などのメッセージが表示されます。万が一、このようなメッセージが表示された場合は、絶対に作業を続行しないようにしてください。
ファーミングは、竿で釣るフィッシングが、網で大量に収穫するトローリングになったようなものなのですが、フィッシングにせよ、ファーミングにせよ、オンライン詐欺という脅威にさらされている一般ユーザーにとっては、非常に迷惑な話であることには、間違いありません。
ファーミングやフィッシングの対策が進むと、また新たな攻撃方法が編み出されてくるものと思います。これもウィルスなどと同様、一方がセキュリティーを強化すれば、他方はまた新しい手口で攻撃をしてくる、まるでイタチごっこのようなインターネット上の「攻撃と対策」。誰もが安心してインターネットを利用できるような環境になればと、常に願っています。
情報提供者: 斎藤 浩 (NSW) 2005年5月23日
