情報セキュリティ
個人情報保護対策支援
情報セキュリティ管理士認定試験
個人情報に関する検定紹介
世界の情報セキュリティ事情
フィッシング詐欺を超える恐怖
「ファーミング詐欺」
フィッシング詐欺を超える新手のインターネット詐欺「ファーミング(pharming)詐欺」が、今アメリカで脅威となっている。
詐欺の内容はフィッシング詐欺と同様、ネットバンクなどのホームページを装った見た目がまったく同じ偽サイトを作り、個人情報を盗むというもの。フィッシング詐欺が、HTMLメールに偽サイトのURLを埋め込んでおいて、クリックすると偽サイトへアクセスさせられていたのに比べ、ファーミング詐欺は正しいURLを入力しているのに偽サイトへ誘導されてしまう点だ。ブラウザのアドレスバーに表示されているURLに不振な部分がない為、気づくことが難しい。そこで入力された個人情報は、全て闇のルートに流出してしまうことになる。
ファーミング詐欺の仕組みは以下の2つの種類が解明されている。
| 1 | 「DNSポイズニング」 (図1を参照) |
DNSポイズニングは、このDNS(ドメイン・ネーム・システム)サーバーを攻撃して、URLの情報を書き換えてしまい、URLから導かれるグローバルIPアドレス(サーバーの住所のようなもの)自体を偽サイトのものとしてしまうのだ。 |
| 2 | ウイルスなどを使い、パソコンOSのhostsファイルを書き換える | スパイウエアやウイルスを使って、パソコンOSの中にあるhostsファイル(パソコン内部でDNSサーバーのような役割をするファイル)を書き換えてしまう手口だ。hostsファイルが書き換えられると、DNSサーバーを経由することなくhostsファイルに書き込まれたグローバルIPアドレスが参照されてしまうため、偽サイトへと誘導されてしまう。 |
図1
現状できる対抗手段としては
| 1 | 個人認証が必要な場合、アドレスバーのURLが「http」ではなく「https」で始まっているか確認する。 |
| 2 | スパイウエア検出・駆除ソフトを使い、常にスパイウエアがインストールされていないかチェックする。 |
| 3 | Microsoft Outlookなどのメールソフトではスクリプトが埋め込まれたメールを開くだけで感染する場合があるので、可能ならば別のメールソフトを利用する。 |
| 4 | ブラウザにURLを入力したときにhostsファイルを無視して、必ずDNSを参照するようなセキュリティツールを利用する。 |
| ファーミングについての語源 |
pharming(ファーミング):「farming(農業)」から生まれた造語。フィッシ ングが被害者を一人一人釣りあげていくイメージなのに対して、ファーミングは 大量の被害者を一気に収穫するイメージなことから付けられた。 |
ニュース&トピックス
情報ア・ラ・カルト
- 金融機関の情報セキュリティ強化に金融庁が本腰
- ウイルスメールを疑似体験できるサービス
- セキュリティ脆弱性情報をオークションで販売
- 「iTunes」にセキュリティ・ホール
- 「OpenOffice.org」にキュリティ・ホール
- マイクロソフト、IE 7の最終ベータ版はセキュリティに重点
- 国内セキュリティ・ソフト市場が大幅な伸び
- 米マイクロソフト社、企業用セキュリティ製品を新ブランドで展開
- NTT西日本、「フレッツ・光プレミアム」のセキュリティ機能を強化
- セキュリティ対策に自信あり。でも実際は?
- ファイル共有ソフト「Winny」などを削除するセキュリティ対策ソフト発売
- IPA、TCP/IPの脆弱性についての文書を公開
- 中小企業向けに低価格のセキュリティサーバ
- 小中高等学校向けに無償でセキュリティ対策ソフト
- 「ランサムウェア(身代金目当てのソフトウェア)」の脅威が再び?
- 政府がウィニー対策の独自ソフト開発へ
- 日本企業はセキュリティ意識高いが自信がない?