インターネット上ではフィッシング(phishing)詐欺がいろいろと問題になっているらしいが、日経IT Proの記事によれば今度はファーミング(pharming)が新たな問題として浮上しているらしい。次々と新しい用語が登場するが、以前から存在したものに名前を付けて、新たな脅威として商売の種にしようという向きもあるようだ。
フィッシングとは、釣り=fishingをもじったものだ。フィッシング詐欺の手口とは、メールなどであたかも信販会社や銀行などを装いユーザを偽のサイトに誘導し、そこでユーザのクレジットカード番号や暗証番号などを入力させるというものだ。メールには、あたかもそれらしいURLが表示されているが、実際のリンクは偽のサイトに向いているという。それに気付かずに先に進み、不用心に自分の情報を入力すれば、すべて取られてしまう。メール内のURLという餌をまき、ユーザがそれに食いつくのを待つということで、フィッシングと呼ばれている。
これに対しファーミングとは、農業=farmingをもじったものだ(遺伝子組み換えなどを意味するpharmingという用語はすでに存在するということである)。ファーミング詐欺の手口とは、フィッシングと異なり、ユーザがブラウザのURL入力欄などに直接アドレスを打ち込み、それが例え正しいアドレスだとしても偽のサイトに誘導させるというものだ。偽のサイトでユーザの情報を取るのは、フィッシングと同じである。正しいURLから偽のサイトに誘導するための仕組みが種であり、それが農業を連想させるということらしいが、ちょっと無理があるような気がする。
ファーミングで根本的に違うのは、たとえばブラウザのURL欄には常に正しいものが表示されているということだ。これなら、注意深いユーザでも騙せる可能性がある。では、このようなことをなぜ可能にするかというと、DNSという名前解決の仕組みに侵入し、偽の応答をさせることで本来のものでないサイトに誘導させることができる。これを、DNSポイゾニングという。
インターネットでは、www.hoge.comといった名前から、実際の通信に必要なIPアドレスを取得するための仕組みが世界規模で確立されている。これをDNSというが、これは常に正しい応答をすることが前提のシステムである。この仕組みを乗っ取れば、いくらでも偽のサイトに誘導させることはできるが、実はこれをもっとも行いやすいのが、クライアントか、そこにもっとも近いDNSサーバだったりする。これらにあるDNS問い合わせのキャッシュ情報などを操作し、偽のサイトに誘導してしまう。これなら、そういう事実に気付いていないと、察知するのは難しいだろう。
実は、DNSポイゾニング自体は、新しい話ではない。DNSサーバにセキュリティホールが取りざたされるたびに、表に出てくる問題である。また、DNSポイゾニングを使えば、フィッシングで、たとえば正しいURLをメール中に埋め込んでいても、偽のサイトへ誘導できる。だから、ファーミング自体、今になって騒ぐような話ではないというのである。
このへんは、火事が起きないと仕事にならない火消しの論理で、セキュリティ業界にとっては常に何か新しい脅威が必要だというのがわかる。特に、キーワードとして人々の不安を煽るように持っていかないと、商売の種にならない。DNSポイゾニングじゃ専門的すぎるし、フィッシングに匹敵するわかりやすい名前が必要だったのだろう。
フィッシング詐欺は、ユーザが気を付けてその手のメールに単純に反応しない、誘導されたサイトでも簡単に個人情報を入力しない、といったことで回避するしかないが、ファーミング詐欺は話の持って行き方によって、システム的な話にできる。たとえば、侵入を検出したり、DNSポイゾニング自体を検出するシステムがあれば、それを売り込むことができるだろう。
では、ファーミング詐欺から逃れるには?
ほとんどすべての、個人情報を求めるサイトでは、SSLによるアクセスが常識だろう。これは、URLの先頭がhttps:になっているか、あるいはブラウザにSSL通信中であることを示す鍵マークが表示されているか、などの情報から判断できる。また、SSLで繋いでいても、証明書が信頼できそうか、確認するのもよいだろう。いずれも、今のブラウザなら普通の機能だから、積極的に見る習慣を付けたい。
といっているうちに、自分でも不安になってきた。オンラインショッピング、インターネットバンキング等、利用しているサービスはたくさんある。入力前に、いろいろ確認するクセを付けた方がよさそうだ。