ファーミングとは？仕組み、種類、防止対策

ファーミング攻撃は、ユーザーが攻撃をトリガーする操作を実行しなくても仕掛けられるため、通常のフィッシング攻撃よりも危険性が高いです。ファーミングは検知するのがかなり難しく、インターネットを安全に利用していて、正しいURLをブラウザに入力しても偽のページに誘導されてしまう恐れがあります。

この記事ではファーミングの仕組み、注意すべき兆候、およびファーミング対策について解説します。

ファーミングとは？

ファーミングとは、ユーザーを偽サイトにリダイレクトするサイバー攻撃です。偽サイトに誘導して、情報を盗んだり、悪意のあるソフトウェアをダウンロードさせたりすることを目的としています。

「www.google.com」のようなサイト名（ドメイン名）へアクセスする際に、お使いの端末はドメイン名を数値で構成された「IP アドレス」に変換する必要があります。この処理は「DNS（ドメインネームシステム）」と呼ばれます。DNSがドメイン名を正しいアドレスに変換することで、ブラウザ上でサイトにアクセスできます。

ファーミング攻撃は、ドメイン名の変換プロセスを妨害します。たとえ、正しいWebアドレスを入力したとしても、ブラウザは本来のサイトではなく偽サイトへ誘導されます。

このような詐欺サイトでログインしたり購入手続きを行ったりすると、ユーザー名、パスワード、銀行口座情報、その他の機密データが盗まれます。また、スパイウェア、キーロガー、ランサムウェアなど、悪質なソフトウェア（マルウェア）をダウンロードさせようとするファーミングページもあります。

ファーミングとフィッシングの主な違い

フィッシングは、主にソーシャルエンジニアリングと詐欺の手口を使った攻撃です。攻撃者は、正規の会社や人物になりすまして、メール、SMS、電話、広告、または偽の警告通知を送信し、ユーザーを騙して悪意のあるリンクをクリックさせたり、添付ファイルを開かせる、マルウェアをダウンロードさせる、または機密情報を共有させようとします。

一方で、ファーミングは上記のようなフィッシングの手口とは違う方法でユーザーを偽のサイトに誘導します。ファーミングの攻撃者もフィッシングと同じく本物のサービスに似せた偽のサイトを準備しますが、大きく違うのは、ファーミングではユーザー側の直接的な操作（悪意のあるリンクをクリックなど）なしに攻撃が仕掛けられる点です。

ファーミングの場合、DNSサーバー、ルーター設定、またはサイトへのアクセス方法を制御するローカルデバイスの設定を改ざんします。基盤となるシステムが改ざんされるため、たとえ正しいURLを入力しても、偽のページに誘導されてしまうのです。

ファーミング攻撃の種類

ファーミング攻撃は、攻撃の経路（攻撃ベクトル）、または攻撃対象のシステム（標的）の種類別に分類できます。

攻撃ベクトルに基づくファーミングの種類

ハッカーは、以下のような手口でシステムの動作を改ざんします。

• マルウェアを利用したファーミング：システム設定を変更する悪意のあるソフトウェア（ウイルス、トロイの木馬、ワームなど）をダウンロードさせて攻撃を仕掛けます。
• リモート侵害型ファーミング：攻撃者がデバイスやネットワーク機器に不正アクセスして、設定を改ざんします。
• 物理的侵入：デバイス、ルーター、またはローカルネットワーク機器に直接物理的にアクセスして、手動で設定を改ざんします。

標的に基づくファーミングの種類

ファーミング攻撃は、ローカルシステムとユーザーでは制御できないDNSインフラの両方に被害を及ぼす恐れがあります。

ホストベースのファーミング

ホストベースのファーミングは、ドメイン検索の処理方法を改ざんして、デバイスやローカルネットワークに被害を及ぼします。

• ホストファイルの改ざん：ドメイン名とIPアドレス間の手動マッピング（名前解決）を保存しているOSのホストファイルを改ざんします。Webサイトを検索する際、デバイスは外部のDNSサーバーに問い合わせる前にこのホストファイルを確認します。攻撃者がホストファイルを変更すると、ブラウザは本物のサイトではなく悪意のある偽サイトに誘導されてしまいます。
• ローカルDNS設定：パソコンやスマートフォンのDNS設定を改ざんし、すべてのドメイン検索リクエストを不正なDNSサーバーにリダイレクトして、フィッシングサイトに接続させます。
• ルーターのDNS設定：ルーターのDNSサーバー設定を悪意のある設定に置き換えるので、そのルーターに接続されているすべてのデバイスに被害が及ぶ恐れがあります。

DNSベースのファーミング

DNSベースのファーミングは、ローカルネットワーク外のDNSインフラ自体を標的とするため、被害の範囲が広く検出も困難な場合が多いです。

インターネットサービスプロバイダや会社が管理するDNSサーバーは、サイトの読み込みを高速化するために、IPアドレスのレコードを一時的に保存しています。お使いの端末は毎回検索を行うのではなく、このキャッシュされたデータを利用しています。

攻撃者はDNSポイズニング（またはDNSキャッシュポイズニング）を仕掛けて、これらの保存されたレコードを改ざんして、正当なドメイン名を悪意のあるIPアドレスに変換させます。

攻撃者は、以下のような手口でDNSレコードを改ざんします。

• DNSソフトウェアの脆弱性を悪用する
• DNSキャッシュに偽のレコードを注入する
• DNSサーバーに不正アクセスし、設定やレコードを変更する
• ボーダーゲートウェイプロトコル（BGP）のルーティングを操作し、攻撃者が制御するサーバー経由にリダイレクトさせる

このような手口によって、大多数のユーザーが正規サイトではなく危険なサイトにリダイレクトされて、被害を受ける可能性があります。

ファーミング攻撃の代表的な事例

長年にわたり、ファーミング攻撃は、政府機関、企業、一般ユーザーに被害を及ぼしてきました。 

• ブラジルで発生したDNSファーミング攻撃（2011年）：ブラジルのインターネットプロバイダおよび数百万人のインターネットユーザーを標的とした大規模なDNS改ざん攻撃が発生しました¹。攻撃者はネットワークインフラを侵害して、ユーザーを悪意のあるサーバーへリダイレクトさせて、詐欺サイトやマルウェアの危険にさらしました。
• 韓国で発生したECサイトのハッキング（2014年）：ECサイトのユーザーがDNSベースのリダイレクトの被害に遭い、買い物客が偽サイトに誘導されました²。ハッカーは、ユーザーアカウントの管理や購入手続き画面から個人の機密データを盗み出しました。
• ポーランドで発生したSOHOルーターファーミング攻撃（2014年）：サイバー犯罪者は30万台以上のSOHOルーターを侵害してDNS設定を改ざんし、オンラインバンキングユーザーを詐欺サイトにリダイレクトして、ログイン情報やその他金融関連の機密情報を盗み出しました³。
• MyEtherWalletルートハイジャック事件（2018年）：ハッカーは、BGP（ボーダー・ゲートウェイ・プロトコル）の脆弱性を悪用してルートハイジャックを仕掛け、Amazon Route 53宛てのトラフィックを一時的にリダイレクトさせました⁴。犯罪者らはMyEtherWalletを装い、ユーザーを偽サイトに誘導して約15万ドル相当の暗号資産を盗み出しました。

ファーミングが危険な理由とは？

ファーミングは、秘密性および広範囲にわたる自動化の手法を使った攻撃です。怪しいリンクやメッセージを送信してユーザーにクリックさせようとするのではなく、インフラストラクチャレベルで攻撃を仕掛けるため、他のサイバー攻撃に比べて危険性が高いです。

• 警戒心の強いユーザーにも被害が及ぶ：ソーシャルエンジニアリングの対策が出来ているユーザーでも、ファーミングの被害に遭う可能性があります（ハッカーがサードパーティのDNSサーバーを改ざんして仕掛ける攻撃など）。
• 大規模なデータ窃取：DNSサーバーや企業用ルーターが侵害されると、接続しているすべてのユーザーが悪意のあるサイトにリダイレクトされます。この間に、攻撃者は大多数のユーザーからデータを窃取します。
• 長期にわたりデータを盗取する恐れ：偽サイトであることに気づかず、ユーザー名、パスワード、支払い情報、アカウント復旧の情報など、様々な情報を入力してしまう恐れがあります。
• 検知が困難：普段利用している正規サイトと同じドメイン名が表示されるため、偽サイトにアクセスしていると気づけない可能性があります。警告サインを早期に察知しない限り、気づいた時には既に被害が及んでいる可能性があります。

ファーミング攻撃を見分ける方法│主な兆候とは

ここでは「正規サイトと微妙に異なる点がある」など、ファーミング攻撃を見抜くための主な兆候をいくつかご紹介します。

• ファイアウォールやウイルス対策ソフトの警告：不正なDNS変更、不審な通信、または危険なサイトにアクセスした際に警告します。
• 常なリダイレクト：サイトにアクセスしようとすると別サイトや予期せぬログイン画面に遷移してしまう場合、サイトのアクセスプロセスが侵害されている可能性があります。
• HTTPSや鍵マークがない：サイトがHTTPSになっているか、ブラウザのアドレスバーに有効な鍵マーク（保護マーク）が表示されているかを確認してください。鍵マークが表示されない、または表示に異常がある場合は、危険なサイトである可能性があります。
• 証明書に関する警告：普段から利用しているサイトで、無効、期限切れ、または信頼できないSSL証明書に関する警告が突然表示されるようになった場合、偽のドメインにアクセスしている可能性があります。
• デザインが微妙に違う：本物のサイトを忠実に模倣している偽サイトもありますが、古いブランドロゴ、不自然な余白、ぼやけたアイコン、メニューの欠落、不自然なフォントなど、微妙に違いがあることが多いです。別の端末やネットワークでも同じサイトを開いてみて比較すると見分けがつきやすいです。
• URLが改変されている：URLを慎重に確認して、余分な文字、文字の入れ替わり、または不自然な句読点がないか確認してください。正規URLと似せたドメインを使ったファーミング攻撃である可能性があります。
• 情報の要求：ファーミングサイトは、ログイン情報、位置情報、個人情報、またはカメラやマイクへのアクセス権などのデバイスアクセス権を要求するポップアップやフォーム画面を表示することがあります。
• ブラウザ履歴に微妙に異なるドメイン名がある：不審に感じる場合は、最近のブラウザ履歴から、一見同じに見えるが微妙に異なるドメイン名のサイト履歴がないか確認してみてください。
• ログイン画面が繰り返し表示される：ログイン直後に再びログインページにリダイレクトされた場合、偽サイトがパスワードを盗み取り、その後本物のサイトへ通信を転送した可能性があります。
• 不審なアカウントのアクティビティ：見覚えのないログイン通知、パスワードリセットのメッセージ、または支払いの通知には警戒しましょう。あなたのデータが侵害された可能性があります。

ファーミング攻撃を防ぐためのセキュリティ対策

インターネットプロバイダやDNSサーバーの侵害が関与している場合は、ファーミング攻撃を自身で排除することは不可能です。しかし、以下のセキュリティ対策を導入することで攻撃のリスクを軽減できます。

• 高性能なウイルス対策ソフトでファイルをスキャンする：ホストファイルを改ざんしたり、DNS設定を変更したりするマルウェアを検出・削除します。
• お使いのOSやブラウザを更新する：ブラウザ、ルーター、OS、およびサイバーセキュリティソフトウェアの更新プログラムをインストールして、常に最新の状態に保ちましょう。
• 内蔵のセキュリティ機能を有効にする：最近のブラウザには、詐欺サイト、安全でないダウンロード、不審なリダイレクトを警告してくれる機能があります。
• 多要素認証（MFA）を有効にする：パスワードにプラスして認証ステップを追加できるので、パスワードの侵害が発生した場合でもアカウントを保護できます。
• ルーターに強力なパスワードを設定する：初期設定の管理者パスワードは変更してください。また、ファームウェアは最新の状態に保ちましょう。
• 信用できるDNSサービスを利用する：Google Public DNSなど、信用できるサービスを利用することで、DNSの改ざんや悪意のあるDNSへの曝露リスクを減らすことができます。
• 見知らぬファイルやリンクは避ける：よく使っているサイトであっても、突然のポップアップをクリックしたり、見知らぬ実行ファイルを開いたりするのは避けてください。
• 信頼できるVPNを導入する：おすすめのVPNサービスなら、ネットワーク管理者やインターネットプロバイダを始めとする第三者からあなたのDNSリクエストを隠して、暗号化されたトンネル経由で送信できます。これにより、ローカルネットワーク上の第三者にリクエストが改ざんされるリスクを低減できます。

よくあるご質問

参考文献

1. Brazilian ISPs Hit with Large-Scale DNS Attack – SecurityWeek 
2. KRBanker Targets South Korea Through Adware and Exploit Kits – Unit 42 (Palo Alto Networks) 
3. SOHO pharming attack hit more than 300,000 devices worldwide – Security Affairs 
4. Suspicious Event Hijacks Amazon Traffic for 2 Hours, Steals Cryptocurrency – Linux.com