2005年03月25日 - 企業内のマルウェア対策は家庭とは違う視点で
mixiのコミュでも書いたんだけど。どうも根本的な問題から視点がずれてる記事とかサイトが多いように思われる。
職場内のパソコンへのスパイウェアなりウイルス感染について論じる記事を最近よく見るものの、どうも根本的な問題を見逃している例を散見するのだよ。
大体、職場での管理と自宅での管理では、求められる対策なり大本の設定なりが、全く違うものである。
従業員が無制限にアプリケーションを勝手にインストールしたり、職場から私的なネットサーフィンができる状況そのものがおかしいし、これを制限するのは当然である。
こんな記事もあったんだけど、どうも納得がいかず。
スパイウェア対策ツールは効果なし?(ITmedia)
また「社外とのやりとりが多いと感染の機会が多い、これは当然」と単純に結論を決め付けてしまう例を散見する。これらは何か大事なものを見逃している。
基本的な対策を採らずに対策ソフトに依存してしまい、それを効くだの効かないだのと評価するのは何かおかしいし、納得がいかない。
ホームユーザーが使うOSの大部分は今時はWindowsXP HomeEditionである(MSのサポが事実上終了しているWindows95/98は論外だけど、WinodwsMeはまだまだ多いのかな?)。WindowsXP HomeEditionはセキュリティポリシーの設定などはできないし、大多数の場合はいきなりAdmin権限のある管理者として利用しているのだろう。
またこの場合、適切な設定をできているのかと問えば、大多数の場合は至らないケースが多いと思われる。
このような場合に、アンチウイルスソフトやスパイウェア対策ソフトを導入するよう推奨するのは、不適切な設定をカバーさせる目的で有意義であり、それはある意味で定石なのだろう。
ホームユーザーに完璧な設定をするよう促すのは、恐らく無理だと思われる。これは初心者軽視ではなく、適切な情報がエンドユーザーに伝わっていない・また初期設定そのものが十分安全とは言えない状態である現状によるものだと考えてる。
しかし企業内部で使われるクライアント機では、事情が違う。
適切にセキュリティポリシーを設定し、User権限で使わせて、利用者が勝手にアプリケーションを導入できないようにしているのが当然なのではなかろうか。
またアンチウイルスソフトはそれぞれ集約的に管理し、Windows OSのパッチの導入状況などもチェックできるようにしている場も多いし、今後はそのような管理が常識になるだろう。
リッチテキスト形式(htmlメール)をテキストメールに変換させるなどの基本的対策は、やってて当然だろう。
(もちろんメールのテキスト変換は、部署によっては余計なお世話になる可能性はあるのだが)
(Internet Explorerの利用ができないようにしてしまうのも手かなぁ)
そして業務に関わりが無いアプリケーションの利用を制限する、これも基本だろう。
つまり企業内部では、基本的な予防策はとられていて当然、なのだよ。
ウイルスやワームと異なりスパイウェアに限定すれば、職場内での感染例は私的なネット利用と不適切な設定と対策ソフトの管理の行き届かなさが、感染例の大多数なのではなかろうか。
(IEの設定を「高」にするだけで、ブラウジング(ネットサーフィン)経由による感染の大多数は防げるのが現状だ)
またブラウザ経由の感染例では、現在では私的な利用が感染の主たる経路に思われるのだが。これらは職場でのポリシーの運用や従業員個人レベルの倫理観に依存する問題であって、これらをすっ飛ばして、いきなり「スパイウェア対策ツールの効果」を論じるのは、何か大事なものを見逃しているのではなかろうか。
大体従業員に安全なネット利用の方法を教育するなど、個別のユーザーの判断に依存するような対策は、明らかに不確かなものである。誰が何をどうやっても感染を避けられるように備えるのが、当然なのではなかろうか。
更には対策ソフトに依存しすぎて、社員教育を疎かにするのは意味が無い。
つまり、個人レベルの対策に帰結して感染者のみを悪者にする姿勢は、おかしいのだ。このような姿勢では、対策はあまりにも結果は不確実なものであるし、理解は得られないだろう。
警戒を促すよりは、業務に関係の無いネット利用を禁止し、勝手な事ができないよう教育し、そして適切な設定をそれぞれのパソコンに施す方がより安全な対策である。
従業員個別の経験やスキルに期待するのは、何か根本的な部分で間違っている。
やはり大事なのは、感染の避け方ではなく、感染しない状況を作り出すべきでは?
対処療法的な対策を考えるのではなく、感染の機会そのものを適切な社員教育なり管理者の働きで避けつつ、適切な設定により避ける方がより効果的であるのだし。
そしてマルウェア感染の機会は、これらによりかなり防止できるものだし、そちらの方がより確実なのだよ。
従業員のパソコンがマルウェア、特にスパイウェア類に感染するのは、企業内部においては従業員が100%悪いのではない。管理者の責任である部分もかなり多いのではなかろうか。
確かにあまりにも困った従業員を抱えれば、それはご苦労様としか言えないのだけど。
最もスキルが至らない従業員であっても感染しない(もしくはしづらい)環境を作ってこそ、文句の一つも堂々と言えるのではないでしょうか。
(どうも勘違いしている人が多いんで苦言を呈すが、自社の社員のパソコンがマルウェア(ウイルス・ワーム・トロイ・スパイウェア・アドウェアなど)に感染するのは、大体の場合では社員ではなく管理者自身の恥なのだよ)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-25 企業内でのマルウェア対策は家庭とは違う視点で(http://d.hatena.ne.jp/LucaLuca/20050325)を修正・加筆し移転したものです。
職場内のパソコンへのスパイウェアなりウイルス感染について論じる記事を最近よく見るものの、どうも根本的な問題を見逃している例を散見するのだよ。
大体、職場での管理と自宅での管理では、求められる対策なり大本の設定なりが、全く違うものである。
従業員が無制限にアプリケーションを勝手にインストールしたり、職場から私的なネットサーフィンができる状況そのものがおかしいし、これを制限するのは当然である。
こんな記事もあったんだけど、どうも納得がいかず。
スパイウェア対策ツールは効果なし?(ITmedia)
また「社外とのやりとりが多いと感染の機会が多い、これは当然」と単純に結論を決め付けてしまう例を散見する。これらは何か大事なものを見逃している。
基本的な対策を採らずに対策ソフトに依存してしまい、それを効くだの効かないだのと評価するのは何かおかしいし、納得がいかない。
「リスクの見分け方」ではなくて「明示的な禁止、そして適切な設定」を
ホームユーザーが使うOSの大部分は今時はWindowsXP HomeEditionである(MSのサポが事実上終了しているWindows95/98は論外だけど、WinodwsMeはまだまだ多いのかな?)。WindowsXP HomeEditionはセキュリティポリシーの設定などはできないし、大多数の場合はいきなりAdmin権限のある管理者として利用しているのだろう。
またこの場合、適切な設定をできているのかと問えば、大多数の場合は至らないケースが多いと思われる。
このような場合に、アンチウイルスソフトやスパイウェア対策ソフトを導入するよう推奨するのは、不適切な設定をカバーさせる目的で有意義であり、それはある意味で定石なのだろう。
ホームユーザーに完璧な設定をするよう促すのは、恐らく無理だと思われる。これは初心者軽視ではなく、適切な情報がエンドユーザーに伝わっていない・また初期設定そのものが十分安全とは言えない状態である現状によるものだと考えてる。
しかし企業内部で使われるクライアント機では、事情が違う。
適切にセキュリティポリシーを設定し、User権限で使わせて、利用者が勝手にアプリケーションを導入できないようにしているのが当然なのではなかろうか。
またアンチウイルスソフトはそれぞれ集約的に管理し、Windows OSのパッチの導入状況などもチェックできるようにしている場も多いし、今後はそのような管理が常識になるだろう。
リッチテキスト形式(htmlメール)をテキストメールに変換させるなどの基本的対策は、やってて当然だろう。
(もちろんメールのテキスト変換は、部署によっては余計なお世話になる可能性はあるのだが)
(Internet Explorerの利用ができないようにしてしまうのも手かなぁ)
そして業務に関わりが無いアプリケーションの利用を制限する、これも基本だろう。
つまり企業内部では、基本的な予防策はとられていて当然、なのだよ。
ウイルスやワームと異なりスパイウェアに限定すれば、職場内での感染例は私的なネット利用と不適切な設定と対策ソフトの管理の行き届かなさが、感染例の大多数なのではなかろうか。
(IEの設定を「高」にするだけで、ブラウジング(ネットサーフィン)経由による感染の大多数は防げるのが現状だ)
またブラウザ経由の感染例では、現在では私的な利用が感染の主たる経路に思われるのだが。これらは職場でのポリシーの運用や従業員個人レベルの倫理観に依存する問題であって、これらをすっ飛ばして、いきなり「スパイウェア対策ツールの効果」を論じるのは、何か大事なものを見逃しているのではなかろうか。
大体従業員に安全なネット利用の方法を教育するなど、個別のユーザーの判断に依存するような対策は、明らかに不確かなものである。誰が何をどうやっても感染を避けられるように備えるのが、当然なのではなかろうか。
更には対策ソフトに依存しすぎて、社員教育を疎かにするのは意味が無い。
つまり、個人レベルの対策に帰結して感染者のみを悪者にする姿勢は、おかしいのだ。このような姿勢では、対策はあまりにも結果は不確実なものであるし、理解は得られないだろう。
警戒を促すよりは、業務に関係の無いネット利用を禁止し、勝手な事ができないよう教育し、そして適切な設定をそれぞれのパソコンに施す方がより安全な対策である。
従業員個別の経験やスキルに期待するのは、何か根本的な部分で間違っている。
やはり大事なのは、感染の避け方ではなく、感染しない状況を作り出すべきでは?
対処療法的な対策を考えるのではなく、感染の機会そのものを適切な社員教育なり管理者の働きで避けつつ、適切な設定により避ける方がより効果的であるのだし。
そしてマルウェア感染の機会は、これらによりかなり防止できるものだし、そちらの方がより確実なのだよ。
嫌味に聞こえたならば、すいませんが
従業員のパソコンがマルウェア、特にスパイウェア類に感染するのは、企業内部においては従業員が100%悪いのではない。管理者の責任である部分もかなり多いのではなかろうか。
確かにあまりにも困った従業員を抱えれば、それはご苦労様としか言えないのだけど。
最もスキルが至らない従業員であっても感染しない(もしくはしづらい)環境を作ってこそ、文句の一つも堂々と言えるのではないでしょうか。
(どうも勘違いしている人が多いんで苦言を呈すが、自社の社員のパソコンがマルウェア(ウイルス・ワーム・トロイ・スパイウェア・アドウェアなど)に感染するのは、大体の場合では社員ではなく管理者自身の恥なのだよ)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-25 企業内でのマルウェア対策は家庭とは違う視点で(http://d.hatena.ne.jp/LucaLuca/20050325)を修正・加筆し移転したものです。
Posted by Luca at 22:22
│
│
2005年03月17日 - FTC、スパイウェア・アサシン(Spyware Assassin)を摘発
この業者の製品は従来よりあまり評判は宜しくなく、FUD(恐怖(fear)不安(uncertainty)疑念(doubt)の頭文字をとった造語))な方法でユーザーを脅迫し、何かに感染しているのではと思い込ませて導入させていたという経緯があった。
酷いものでは、ユーザーのパソコンに何かのマルウェアを感染させ、ブラウザハイジャッカーにより強制的に怪しいスパイウェア対策ソフトの購入を促すページを表示させたりするものなどもある。
これらはアドウェア(Ad-ware)・スパイウェア(Spyware)よりも、ある意味で悪質である。
更に悲惨な事に、これらの怪しいセキュリティ対策ソフトは、正常に動作しない場合もある。以前紹介したspyware stormerのように、存在しないスパイウェアのファイルを検出したと表示させる妙なものもある。
米連邦取引委員会(FTC)の原文はこれ。興味深い部分を抜粋して紹介する。
何と言うかなあ・・・・・・これはインチキとしか言いようがないな。「検出できない」ならまだしも、脅威をでっち上げるのは、詐欺だろうに。
Spyware WarriorのRogue(凶暴)な製品一覧ページを見たらば、トップにデカデカとニュース扱いで掲載されていた。
「Spyware Warrior Rogue-Suspect Anti-Spyware Products & Web Sites」
(注意:Rogueと言うよりは、これはBogus(インチキ)がふさわしい)
ここのリストを見ると、このスパイウェア・アサシン(Spyware Assassin)の関連製品として、複数の製品が掲載されている。
名前は違えど、同じベンダーが同様の製品を複数作成し、同様の手口で販売していたらしい。
米国では判決に至るまで戦い続ける例はそれほど多くなく、大抵は途中で和解となる。そのためここでの「和解」は事実上FTCの告発が勝利を得たとの意味である。
Bogus wareとRogue ware、インチキソフト
ランサムウェア(Ransomware)とFUD
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-17 FTC、スパイウェア・アサシンを摘発(http://d.hatena.ne.jp/LucaLuca/20050317)を修正・加筆し移転したものです。
酷いものでは、ユーザーのパソコンに何かのマルウェアを感染させ、ブラウザハイジャッカーにより強制的に怪しいスパイウェア対策ソフトの購入を促すページを表示させたりするものなどもある。
これらはアドウェア(Ad-ware)・スパイウェア(Spyware)よりも、ある意味で悪質である。
更に悲惨な事に、これらの怪しいセキュリティ対策ソフトは、正常に動作しない場合もある。以前紹介したspyware stormerのように、存在しないスパイウェアのファイルを検出したと表示させる妙なものもある。
米連邦取引委員会(FTC)はこのほど、スパイウェア対策製品と称して役にたたないソフトを販売していた米国の業者を摘発した。ウェブサイトで無料の「検査」を受けさせ、「スパイウェアが見つかった」と言いがかりをつけてはソフトを売りつけていた。
摘発されたのは、『スパイウェア・アサシン』というソフトを売っていたワシントン州の業者。同州スポーケンの連邦地裁が8日(米国時間)、販売の仮差し止めを決定した。
「スパイウェアを無料で検査します」詐欺、摘発(WIRED NEWS)
米連邦取引委員会(FTC)の原文はこれ。興味深い部分を抜粋して紹介する。
Even when the computer is clean of all spyware, the defendants report that spyware has been detected, and the file folders the defendants claim contain the spyware are either empty or contain files that do not contain spyware, according to the agency.
コンピュータが全てのスパイウェアにクリーン(感染していない)だった場合でさえ、被告はスパイウェアに感染していたと報告した。そして政府機関によれば、被告がスパイウェアを含んでいると主張したファイル・フォルダーは、空であったりスパイウェアでないファイルがあるだけであった。
FTC Bars Bogus Anti-Spyware Claims(FTC)
何と言うかなあ・・・・・・これはインチキとしか言いようがないな。「検出できない」ならまだしも、脅威をでっち上げるのは、詐欺だろうに。
Spyware WarriorのRogue(凶暴)な製品一覧ページを見たらば、トップにデカデカとニュース扱いで掲載されていた。
「Spyware Warrior Rogue-Suspect Anti-Spyware Products & Web Sites」
(注意:Rogueと言うよりは、これはBogus(インチキ)がふさわしい)
ここのリストを見ると、このスパイウェア・アサシン(Spyware Assassin)の関連製品として、複数の製品が掲載されている。
名前は違えど、同じベンダーが同様の製品を複数作成し、同様の手口で販売していたらしい。
和解成立(2006年1月7日)
効力を偽ってスパイウェア対策ソフトウェアを販売し、販売手法でも米連邦法に違反したとして、米連邦取引委員会 (FTC) から告発を受けていた2つの企業が、制裁金を支払い FTC と和解した。
この2社は、スパイウェア対策ソフトウェア『SpyKiller』を販売していた Trustsoft と、『Spyware Assassin』を販売していた MaxTheater だ。両社およびそのオーナーは、自社の Web サイトでスパイウェア診断を行なったように見せかけ、感染事実がないにもかかわらずスパイウェアを検知したという偽の警告を発し、消費者にスパイウェア対策ソフトウェアを販売していた。それだけでなく、これらソフトウェアは効果が全くないか、宣伝文句通りでなかった。
詐欺的スパイウェア対策ソフトウェア販売業者、FTC と和解
米国では判決に至るまで戦い続ける例はそれほど多くなく、大抵は途中で和解となる。そのためここでの「和解」は事実上FTCの告発が勝利を得たとの意味である。
関連記事
Bogus wareとRogue ware、インチキソフト
ランサムウェア(Ransomware)とFUD
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-17 FTC、スパイウェア・アサシンを摘発(http://d.hatena.ne.jp/LucaLuca/20050317)を修正・加筆し移転したものです。
Posted by Luca at 22:13
│
│
2005年03月05日 - ファーミング詐欺とDNSはフィッシング詐欺を超える
先月「pharming(ファーミング)」詐欺についての記事を読んだ。要するに「Web spoofing」である。「phishing(フィッシング)」ではない。
DNS(Domain Name System) とは簡単に書いてしまえば、ホスト名を含んだFQDN(www.example.comなど)とIPアドレスの対応表のようなものだ。ホスト名・FQDNだけではどこのどのサーバーなのかわからないが、これをIPアドレスに変換(正引き)する仕組み。IPアドレスは住所のようなもので、これによりネット上のどこに目的地があるのかを指定できるのだ。なお一つのIPアドレスを持ったサーバーに、複数のURI(www.example.netやwww2.example.net、www.example.com)を割り当てるのも可能である。
(2005-4-21 厳密には「http://www.example.com/」なるURIのwwwがホスト名、example.comがドメイン名、www.example.comそのものはFQDN:完全修飾ドメインであるとの指摘を受けたため、記述を一部修正した)
pharming(ファーミング)はこの「対応表」を不正なものにすると考えてもらいたい。これによりブラウザのアドレス欄に表示されているアドレスが「http://www.google.co.jp」であっても、実際には「http://www.yahoo.co.jp」なりその他のサイトを開かせられるようになる。
フィッシングとの違いは、フィッシングは正しいURIを開いているように「見せかける」ものであるのに対し、ファーミングはURIそのものの表示などは偽装しない点。
手口としてはDNSサーバーへの攻撃により実現するDNSポイゾニングや、エンドユーザーのパソコンを直接アレするhostsファイル、その他色々考えられそうな。
DNSポイゾニングについて紹介しているページがあった。この例ではDNSサーバーへの攻撃によるものなのだが、難しいような予感がする。
BINDに何か新規の脆弱性などがありそれを悪用されるような事態に陥れば、どうなるんだろう。何百・何千人もまとめてドボン、であるのだな。
hostsファイルへ登録されたホスト・IPアドレスは、DNSサーバーへの照会よりも優先度が高くなる。
hosts ファイルの編集手順(Microsoft)でも取り上げられているが、マルウェア配布者がhostsファイルを利用する例がある。不正な内容を含むhostsファイルをユーザーのパソコンに作成させてしまえば、ファーミング(pharming)・Web spoofingを容易に行える。
もっともこの方法は、hostsファイルを作成させるために予め何らかのマルウェアに感染させる必要がある。
(なおWeb Spoofingだけではなく、このhostsファイルを使ったテクニックにより、アンチウイルスソフトのアップデートの妨害やWindows Updateへの接続のブロックなどの悪質な悪戯も可能である)
Hostsファイルによる名前解決については、以下の2つが詳しいので見てもらいたい。
一番のポイントは、HostsファイルによるDNSの名前解決は、DNSサーバーへの問い合わせによる名前解決よりも優先される点である。
リモート・ネットワークの名前解決をhosts/lmhostsで行う(@IT:Windows TIPS)
「名前解決」あれやこれや(大橋のページ)
ファーミング詐欺の手法解説としては最も読みやすいものなんだけど。29.99ドル払って導入してDNSの名前解決の順序(始めにHostsファイル、次にDNS)を入れ替えるよりは、レジストリの設定であっけなくできそうな気がする。
同じINTERNET Watchの記事なんだけど、こちらはあまりにもアレなのです。
記事全体が練られて無いと言うか、話がバラバラな。
キーロガーそのものはファーミング詐欺を引き起こす手法ではあるまいに。
またクライムウェア(crimeware)なる用語は、以前どこかで見た折に違和感を感じた。大体crimeか否かは、何らかの(技術とはかけ離れた)主観が入らなければ成立し得ないような。マルウェア(Malware)の範疇の中の悪質で犯罪性が強いもの、の意味なんだろうが、Gooleで全言語で400件だし一般的ではない。
CrimeWareがマルウェアではないとは言わないが、イメージ戦略のために生まれたテクニカルターム?としか思えない印象がある。
少し毛色が違う話だが。
ドメインの所有者であるよう装ってレジストラに連絡し、その登録内容を変更してしまう。例としてhttp://www.example.com/のリンクが本来の123.123.123.abcではなく234.234.234.defを指すようにし、全く異なるサーバーへ接続させてしまうのだ。
アルジャジーラのサイト書き換えは、Webサーバーへのハッキングではなく、この方法によるものだったようだ。
ハッカーが『アルジャジーラ』サイトの攻撃を批判(WIRED NEWS)
Windows OSは設定によっては、問い合わせてもいない(queryを送っていない)DNSサーバーからの「返信(DNS reply)」を信じ込んでキャッシュしてしまう。この攻撃はWindows9x/2000/XPなどのクライアント機をターゲットにでき、ローカルに信頼できないようなパソコンを接続する危険性を考えさせられてしまう。
これを予防するには「問い合わせたDNSサーバ以外からの応答を受け取らない(Windows XPスマートチューニング)」のようにレジストリを設定するか、もしくはブロードバンドルーターで不正な応答を捨ててしまえばよい。
この問題を検証して報告したMLの投稿があった。興味があるならば見てもらいたい。
「[port139ml:03435] Re: IpQueryMatching」
高木浩光氏がこのファーミング問題について言及していた。SSLで保護されていない場所で個人情報を入力しない、これが最も手っ取り早くわかりやすく、そして教えやすいような。
プリントアウトして何度も読み返した。皆さんも是非とも見てもらいたい、大変ためになる内容である。
こんな記事もあったけど。「ディジタル証明書の内容をチェック」と言われても、警告の意味がよくわからない層も多いんだし。
このブログを見つけ、何と言ったらばいいのかわからず。
httpsを使ったフィッシング(星澤裕二メモ)
サイトの電子証明書は認証機関(CA)が発行するに当り、「とあるドメインのとあるサイトが確実に存在するのか」を証明するものであって。
「それが安全か否か」を証明するものでは無いんですが。
(脱線しますが、実際に罠入りのサイトがこれを利用している例もチラホラとあるようで)
今回の話は、かなり微妙で。
citybank.comかcitibank.comかの違いはあるものの。認証機関の担当者がよくこんなドメインの電子証明書を発行したものだと。
認証機関が電子証明書を発行するに当り、身元を確認したりまたこのような悪意あるサイト運営者か否かを考慮しないものなんですかね。
これは「接続先が本当にそのドメイン(この場合は本当の意味でのcitybank)のサイトなのか否か」が判別できないとの話ではないんですが。結局は本当のシティバンクのサイトか否かがわからず、ゴタゴタになってると。
人のやる事だから、穴なりミスはあると思われますが。
他にもcitybanc.comとかcitybanks.comとかcitybonk.comとか、応用例は幾らでもありそうな。
citybankにしてもも、タイプミスでありがちな似たようなドメインは、念のため自己防衛のために取得しておけばいいのに。
このようなユーザーの錯誤を期待したドメインの取得者は、訴訟の対象となり。また大抵の場合は敗訴になるらしいです。
(Mikerowsoftの場合は、MSが折れたようですが)
DNS Poisoningについての記事があったので紹介する。
こっちの方が少し詳しい。
ABX toolbarですか。と言う事で早速試す。
isjm040131さんがB.D.Cのフォーラムにて紹介してた、ABX Toolbar - New Malware on the Net(Spyware Warrior)を発見。
XP SP2でIEのセキュリティ設定を極力落とし、表示されたサイトをどんどん信頼済みサイトへ登録。
うーん、何も起きない。VPCのゲスト作りが進んでないので、Windows2000で後日試してみよう。
DNSワイルドカードと言えば、www.example.comでもwww2.example.comでも同じサーバーに接続するようになる機能なんだろうけど、どんなメールアドレスなのだろうか。
「support@barclays.co.uk.example.com」みたいなものなのかな。
何か微妙に違うような気もする。
少し話は違うのだが、http://windowsupdate.microsoft.com.example.com/みたいなURIを何度か見た記憶がある。このURIを開いても、接続されるのはマイクロソフトではなくexample.comになるのだが。
それに気付かない層も多いのだろう。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-05 ファーミング詐欺とDNS(フィッシング詐欺に非ず)(http://d.hatena.ne.jp/LucaLuca/20050305)を修正・加筆し移転したものです。
DNSとpharming(ファーミング)、その手口について
DNS(Domain Name System) とは簡単に書いてしまえば、ホスト名を含んだFQDN(www.example.comなど)とIPアドレスの対応表のようなものだ。ホスト名・FQDNだけではどこのどのサーバーなのかわからないが、これをIPアドレスに変換(正引き)する仕組み。IPアドレスは住所のようなもので、これによりネット上のどこに目的地があるのかを指定できるのだ。なお一つのIPアドレスを持ったサーバーに、複数のURI(www.example.netやwww2.example.net、www.example.com)を割り当てるのも可能である。
(2005-4-21 厳密には「http://www.example.com/」なるURIのwwwがホスト名、example.comがドメイン名、www.example.comそのものはFQDN:完全修飾ドメインであるとの指摘を受けたため、記述を一部修正した)
pharming(ファーミング)はこの「対応表」を不正なものにすると考えてもらいたい。これによりブラウザのアドレス欄に表示されているアドレスが「http://www.google.co.jp」であっても、実際には「http://www.yahoo.co.jp」なりその他のサイトを開かせられるようになる。
フィッシングとの違いは、フィッシングは正しいURIを開いているように「見せかける」ものであるのに対し、ファーミングはURIそのものの表示などは偽装しない点。
手口としてはDNSサーバーへの攻撃により実現するDNSポイゾニングや、エンドユーザーのパソコンを直接アレするhostsファイル、その他色々考えられそうな。
フィッシングはオンライン詐欺の一種(関連記事)。ユーザーを正規のサイト(ショッピング・サイトや銀行/クレジット・カード会社のサイトなど)に見せかけた偽サイトへ誘導し,クレジット・カード番号やサービスのパスワードといった個人情報を入力させて盗む。
「ユーザーが“正規のURL”をブラウザに入力しても,偽サイトへ“自動的”に誘導される」――。これがファーミングである。
具体的には,(1)ウイルス(ワーム)などを使って,クライアントのhostsファイル[用語解説])を書き換える,(2)DNSサーバーに虚偽の情報をキャッシュさせる(これは「DNSポイズニング」と呼ばれる)――など。つまり,アドレス解決時にhostsファイルやDNSサーバーから偽のIPアドレスを返させて,偽サイトへ誘導するのである。
pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?(IT Pro)
DNSポイゾニング(DNS poisoning)
DNSポイゾニングについて紹介しているページがあった。この例ではDNSサーバーへの攻撃によるものなのだが、難しいような予感がする。
1 攻撃対象のユーザが利用するDNSサーバに、ユーザが利用するであろうサイトのドメイン名(www.example.com)についてIPアドレスの問い合わせを行う。
2 DNSサーバは問い合わせ対象の情報が自ドメインの管理下にないため当該ドメインのDNSサーバに要求を転送する。
3 攻撃者は2の要求転送先であるDNSサーバになりすまし、誘導したいIPアドレスを回答として送信する。
DNSポイゾニングに関するメモ:武田圭史
BINDに何か新規の脆弱性などがありそれを悪用されるような事態に陥れば、どうなるんだろう。何百・何千人もまとめてドボン、であるのだな。
hostsファイルとDNSの名前解決
hostsファイルへ登録されたホスト・IPアドレスは、DNSサーバーへの照会よりも優先度が高くなる。
hosts ファイルの編集手順(Microsoft)でも取り上げられているが、マルウェア配布者がhostsファイルを利用する例がある。不正な内容を含むhostsファイルをユーザーのパソコンに作成させてしまえば、ファーミング(pharming)・Web spoofingを容易に行える。
もっともこの方法は、hostsファイルを作成させるために予め何らかのマルウェアに感染させる必要がある。
(なおWeb Spoofingだけではなく、このhostsファイルを使ったテクニックにより、アンチウイルスソフトのアップデートの妨害やWindows Updateへの接続のブロックなどの悪質な悪戯も可能である)
Hostsファイルによる名前解決については、以下の2つが詳しいので見てもらいたい。
一番のポイントは、HostsファイルによるDNSの名前解決は、DNSサーバーへの問い合わせによる名前解決よりも優先される点である。
リモート・ネットワークの名前解決をhosts/lmhostsで行う(@IT:Windows TIPS)
「名前解決」あれやこれや(大橋のページ)
2005-4-21追記 hostsファイルフィッシングよるDNS悪用 - フィッシング・ファーミング詐欺
ファーミング詐欺の手法解説としては最も読みやすいものなんだけど。29.99ドル払って導入してDNSの名前解決の順序(始めにHostsファイル、次にDNS)を入れ替えるよりは、レジストリの設定であっけなくできそうな気がする。
ホストファイルフィッシングでは、OSの中に含まれているhostsファイルを書き換えることで偽サイトに誘導する。例えば「www.citibank.com」に対応する偽サイトのIPアドレスを書き込むといった具合だ。hostsファイルが書き換えられると、DNSを経由することなくhostsファイルに書き込まれたIPアドレスが参照・表示されてしまうため、ユーザーがブラウザのアドレスバーに手動で「www.citibank.com」と入力しても偽サイトにつながるわけだ。アドレスバーに表示されているURLも「www.citibank.com」であり、ユーザーが自分でURLを打ち込んだという安心感があることから、偽サイトがうまく作り込まれていれば、まったく疑うことなく個人情報を入力してしまう可能性が極めて高い。
Anonymizer 2005では、ブラウザにURLを入力したときにhostsファイルを無視し、必ずDNSを参照するようにすることでホストファイルフィッシングを防ぐ。対応OSはWindows XP/2000。年額29.99ドル
OSのhostsファイルを書き換えてしまう新手のフィッシング詐欺に注意(INTERNET Watch)
同じINTERNET Watchの記事なんだけど、こちらはあまりにもアレなのです。
OSのhostsファイルが書き換えられると、アドレスバーに直接入力したサイトとは別のサイトにアクセスしてしまう。こうして偽サイトにアクセスしたユーザーは、アドレスを直接入力したためにアクセスしたサイトを本物と信じ込んでしまい、個人情報の詐取も容易になるという。
ファーミングの手法としてはこのほか、キー入力を記録するキーロガーなどの「クライムウェア」をインストールされてしまうケースもある。また、DNSサーバーのデータを書き換えるなどしてユーザーを悪意のあるサイトに誘導できる「DNAキャッシュポイズニング」の手法も警告した。
なお、2月にはSecuniaなどのセキュリティベンダー各社が、Internet Explorer以外の主要ブラウザに国際化ドメイン名(IDN)を悪用したURL偽装問題があることを指摘していたが、APWGによれば「IDNの問題を悪用したフィッシング詐欺は発生していない」としている。
フィッシングの手法に変化、悪質なコードを仕込むファーミング警告(INTERNET Watch, 鷹木 創)
記事全体が練られて無いと言うか、話がバラバラな。
キーロガーそのものはファーミング詐欺を引き起こす手法ではあるまいに。
またクライムウェア(crimeware)なる用語は、以前どこかで見た折に違和感を感じた。大体crimeか否かは、何らかの(技術とはかけ離れた)主観が入らなければ成立し得ないような。マルウェア(Malware)の範疇の中の悪質で犯罪性が強いもの、の意味なんだろうが、Gooleで全言語で400件だし一般的ではない。
CrimeWareがマルウェアではないとは言わないが、イメージ戦略のために生まれたテクニカルターム?としか思えない印象がある。
ドメインの乗っ取り
少し毛色が違う話だが。
ドメインの所有者であるよう装ってレジストラに連絡し、その登録内容を変更してしまう。例としてhttp://www.example.com/のリンクが本来の123.123.123.abcではなく234.234.234.defを指すようにし、全く異なるサーバーへ接続させてしまうのだ。
アルジャジーラのサイト書き換えは、Webサーバーへのハッキングではなく、この方法によるものだったようだ。
ハッカーが『アルジャジーラ』サイトの攻撃を批判(WIRED NEWS)
QueryIpMatching
Windows OSは設定によっては、問い合わせてもいない(queryを送っていない)DNSサーバーからの「返信(DNS reply)」を信じ込んでキャッシュしてしまう。この攻撃はWindows9x/2000/XPなどのクライアント機をターゲットにでき、ローカルに信頼できないようなパソコンを接続する危険性を考えさせられてしまう。
これを予防するには「問い合わせたDNSサーバ以外からの応答を受け取らない(Windows XPスマートチューニング)」のようにレジストリを設定するか、もしくはブロードバンドルーターで不正な応答を捨ててしまえばよい。
この問題を検証して報告したMLの投稿があった。興味があるならば見てもらいたい。
「[port139ml:03435] Re: IpQueryMatching」
ファーミング詐欺対策としてのSSL
高木浩光氏がこのファーミング問題について言及していた。SSLで保護されていない場所で個人情報を入力しない、これが最も手っ取り早くわかりやすく、そして教えやすいような。
プリントアウトして何度も読み返した。皆さんも是非とも見てもらいたい、大変ためになる内容である。
hostsの書き換えで誘導される偽サイトは、ドメイン名は本物であるのだから、本物ドメイン名でのSSLのサーバ証明書を、詐欺師達は持つことができない(認証局がミスをしない限り)ので、もし https:// ページになっているなら、必ずブラウザが警告を出す。
偽サイトがよそのサイト用の正規のサーバ証明書を使っているなら、IEでは「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」と出るし、偽サイトがサイト名を一致させようとすれば、偽の認証局から発行するしかないので、「このセキュリティ証明書は、信頼する会社から発行されていません」と出る。Firefoxならば、「あなたの個人情報を入手するために www.example.co.jp であると偽装しているサイトに接続しようとしています」とズバリそのものの警告が出る。
ファーミング詐欺と区別がつかない自治体電子申請サイト(高木浩光@自宅の日記)
こんな記事もあったけど。「ディジタル証明書の内容をチェック」と言われても、警告の意味がよくわからない層も多いんだし。
また,DNSサーバーに虚偽の情報をキャッシュされた場合などに備えて,個人情報などを入力するページでは,SSLが使われていることを確認するとともに,ディジタル証明書の内容をチェックしたい。DNSポイズニング攻撃などを受けないように,DNSサーバーの管理者がきちんと対策を施すことも重要だ。
「pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?(IT Pro)(http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/index2.shtml)」
httpsであっても、本当にそのサイトなのか否かが
このブログを見つけ、何と言ったらばいいのかわからず。
httpsを使ったフィッシング(星澤裕二メモ)
サイトの電子証明書は認証機関(CA)が発行するに当り、「とあるドメインのとあるサイトが確実に存在するのか」を証明するものであって。
「それが安全か否か」を証明するものでは無いんですが。
(脱線しますが、実際に罠入りのサイトがこれを利用している例もチラホラとあるようで)
今回の話は、かなり微妙で。
citybank.comかcitibank.comかの違いはあるものの。認証機関の担当者がよくこんなドメインの電子証明書を発行したものだと。
認証機関が電子証明書を発行するに当り、身元を確認したりまたこのような悪意あるサイト運営者か否かを考慮しないものなんですかね。
これは「接続先が本当にそのドメイン(この場合は本当の意味でのcitybank)のサイトなのか否か」が判別できないとの話ではないんですが。結局は本当のシティバンクのサイトか否かがわからず、ゴタゴタになってると。
人のやる事だから、穴なりミスはあると思われますが。
他にもcitybanc.comとかcitybanks.comとかcitybonk.comとか、応用例は幾らでもありそうな。
citybankにしてもも、タイプミスでありがちな似たようなドメインは、念のため自己防衛のために取得しておけばいいのに。
このようなユーザーの錯誤を期待したドメインの取得者は、訴訟の対象となり。また大抵の場合は敗訴になるらしいです。
(Mikerowsoftの場合は、MSが折れたようですが)
DNS PoisoningとABX toolbar
DNS Poisoningについての記事があったので紹介する。
この攻撃は、インターネット上のホワイトページ(個人電話帳)として動作するDNS(Domain Name System)サーバを不正に操作して、人気ウェブサイトのIPアドレスを、攻撃者が設置した悪質なサイトのアドレスに書き換えるというものだ。
Internet Storm Centerによれば、先ごろ発見されたSymantec製ファイアウォールおよびゲートウェイセキュリティアプライアンスの欠陥が、今回のDNS Poisoningの発生に関係している可能性があるという。だが、Symantec製品を使用していないサイトも被害にあっているとLamは指摘している。
DNS Poisoningを駆使して、一見正規のものに見えるが、その実、個人情報を収集するサイトにユーザーを誘導するという手法は、比較的新しい。一部のセキュリティ対策企業は、これを「Pharming」と呼んでいる。
DNSサーバを不正操作するフィッシング手法が出現--専門家が警告(CNET Japan)
こっちの方が少し詳しい。
米Symantecは4日、同社の企業向けセキュリティゲートウェイ製品に“DNSキャッシュポイズニング”の脆弱性があるとして修正パッチを公開した。
Symantecのゲートウェイ製品に含まれるDNS機能にも、DNSのキャッシュテーブルに偽のDNSレコードを書き込まれてしまという脆弱性があったのだという。「Symantec Gateway Security Appliance 2.0.1」「Symantec Enterprise Firewall 8.0」などが影響を受ける。
「google.com」「ebay.com」などのよく知られたサイトにアクセスしようとすると、別のサーバーにリダイレクトされ、そこではユーザーのPCに「ABX toolbar」というスパイウェアのインストールを試みるという。
Symantecのゲートウェイ製品に“DNSキャッシュポイズニング”の脆弱性(2005-3-8 INTERNET Watch)
ABX toolbarですか。と言う事で早速試す。
isjm040131さんがB.D.Cのフォーラムにて紹介してた、ABX Toolbar - New Malware on the Net(Spyware Warrior)を発見。
XP SP2でIEのセキュリティ設定を極力落とし、表示されたサイトをどんどん信頼済みサイトへ登録。
うーん、何も起きない。VPCのゲスト作りが進んでないので、Windows2000で後日試してみよう。
DNSワイルドカード
その一例としてマストラス氏は、最近イギリスのバークレイズ銀行が標的となったフィッシング詐欺を挙げた。送信された電子メールのメッセージに含まれていたリンクは、前半の文字列こそ「barclays.co.uk」と正しいURLのものだったが、これに続く文字列がユーザーを同銀行とは別のサイトへ導くものだった。
マストラス氏はこのとき用いられた手法を「DNSワイルドカード」と呼んだ。一部誤って入力された電子メールアドレスを正しいアドレスに変換するため、DNSレコードで使用するのがいわゆるワイルドカード機能だが、最近スパム業者がこれを悪用するようになり、現在ではフィッシング詐欺で使われているという。
正しいURLを偽サイトにつなげる「ファーミング詐欺」(上)(WIRED NEWS)
DNSワイルドカードと言えば、www.example.comでもwww2.example.comでも同じサーバーに接続するようになる機能なんだろうけど、どんなメールアドレスなのだろうか。
「support@barclays.co.uk.example.com」みたいなものなのかな。
何か微妙に違うような気もする。
ドメインの詐称とは違うレベルの話
少し話は違うのだが、http://windowsupdate.microsoft.com.example.com/みたいなURIを何度か見た記憶がある。このURIを開いても、接続されるのはマイクロソフトではなくexample.comになるのだが。
それに気付かない層も多いのだろう。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-05 ファーミング詐欺とDNS(フィッシング詐欺に非ず)(http://d.hatena.ne.jp/LucaLuca/20050305)を修正・加筆し移転したものです。
Posted by Luca at 22:04
│
│
