2005年03月05日 - ファーミング詐欺とDNSはフィッシング詐欺を超える
先月「pharming(ファーミング)」詐欺についての記事を読んだ。要するに「Web spoofing」である。「phishing(フィッシング)」ではない。
DNS(Domain Name System) とは簡単に書いてしまえば、ホスト名を含んだFQDN(www.example.comなど)とIPアドレスの対応表のようなものだ。ホスト名・FQDNだけではどこのどのサーバーなのかわからないが、これをIPアドレスに変換(正引き)する仕組み。IPアドレスは住所のようなもので、これによりネット上のどこに目的地があるのかを指定できるのだ。なお一つのIPアドレスを持ったサーバーに、複数のURI(www.example.netやwww2.example.net、www.example.com)を割り当てるのも可能である。
(2005-4-21 厳密には「http://www.example.com/」なるURIのwwwがホスト名、example.comがドメイン名、www.example.comそのものはFQDN:完全修飾ドメインであるとの指摘を受けたため、記述を一部修正した)
pharming(ファーミング)はこの「対応表」を不正なものにすると考えてもらいたい。これによりブラウザのアドレス欄に表示されているアドレスが「http://www.google.co.jp」であっても、実際には「http://www.yahoo.co.jp」なりその他のサイトを開かせられるようになる。
フィッシングとの違いは、フィッシングは正しいURIを開いているように「見せかける」ものであるのに対し、ファーミングはURIそのものの表示などは偽装しない点。
手口としてはDNSサーバーへの攻撃により実現するDNSポイゾニングや、エンドユーザーのパソコンを直接アレするhostsファイル、その他色々考えられそうな。
DNSポイゾニングについて紹介しているページがあった。この例ではDNSサーバーへの攻撃によるものなのだが、難しいような予感がする。
BINDに何か新規の脆弱性などがありそれを悪用されるような事態に陥れば、どうなるんだろう。何百・何千人もまとめてドボン、であるのだな。
hostsファイルへ登録されたホスト・IPアドレスは、DNSサーバーへの照会よりも優先度が高くなる。
hosts ファイルの編集手順(Microsoft)でも取り上げられているが、マルウェア配布者がhostsファイルを利用する例がある。不正な内容を含むhostsファイルをユーザーのパソコンに作成させてしまえば、ファーミング(pharming)・Web spoofingを容易に行える。
もっともこの方法は、hostsファイルを作成させるために予め何らかのマルウェアに感染させる必要がある。
(なおWeb Spoofingだけではなく、このhostsファイルを使ったテクニックにより、アンチウイルスソフトのアップデートの妨害やWindows Updateへの接続のブロックなどの悪質な悪戯も可能である)
Hostsファイルによる名前解決については、以下の2つが詳しいので見てもらいたい。
一番のポイントは、HostsファイルによるDNSの名前解決は、DNSサーバーへの問い合わせによる名前解決よりも優先される点である。
リモート・ネットワークの名前解決をhosts/lmhostsで行う(@IT:Windows TIPS)
「名前解決」あれやこれや(大橋のページ)
ファーミング詐欺の手法解説としては最も読みやすいものなんだけど。29.99ドル払って導入してDNSの名前解決の順序(始めにHostsファイル、次にDNS)を入れ替えるよりは、レジストリの設定であっけなくできそうな気がする。
同じINTERNET Watchの記事なんだけど、こちらはあまりにもアレなのです。
記事全体が練られて無いと言うか、話がバラバラな。
キーロガーそのものはファーミング詐欺を引き起こす手法ではあるまいに。
またクライムウェア(crimeware)なる用語は、以前どこかで見た折に違和感を感じた。大体crimeか否かは、何らかの(技術とはかけ離れた)主観が入らなければ成立し得ないような。マルウェア(Malware)の範疇の中の悪質で犯罪性が強いもの、の意味なんだろうが、Gooleで全言語で400件だし一般的ではない。
CrimeWareがマルウェアではないとは言わないが、イメージ戦略のために生まれたテクニカルターム?としか思えない印象がある。
少し毛色が違う話だが。
ドメインの所有者であるよう装ってレジストラに連絡し、その登録内容を変更してしまう。例としてhttp://www.example.com/のリンクが本来の123.123.123.abcではなく234.234.234.defを指すようにし、全く異なるサーバーへ接続させてしまうのだ。
アルジャジーラのサイト書き換えは、Webサーバーへのハッキングではなく、この方法によるものだったようだ。
ハッカーが『アルジャジーラ』サイトの攻撃を批判(WIRED NEWS)
Windows OSは設定によっては、問い合わせてもいない(queryを送っていない)DNSサーバーからの「返信(DNS reply)」を信じ込んでキャッシュしてしまう。この攻撃はWindows9x/2000/XPなどのクライアント機をターゲットにでき、ローカルに信頼できないようなパソコンを接続する危険性を考えさせられてしまう。
これを予防するには「問い合わせたDNSサーバ以外からの応答を受け取らない(Windows XPスマートチューニング)」のようにレジストリを設定するか、もしくはブロードバンドルーターで不正な応答を捨ててしまえばよい。
この問題を検証して報告したMLの投稿があった。興味があるならば見てもらいたい。
「[port139ml:03435] Re: IpQueryMatching」
高木浩光氏がこのファーミング問題について言及していた。SSLで保護されていない場所で個人情報を入力しない、これが最も手っ取り早くわかりやすく、そして教えやすいような。
プリントアウトして何度も読み返した。皆さんも是非とも見てもらいたい、大変ためになる内容である。
こんな記事もあったけど。「ディジタル証明書の内容をチェック」と言われても、警告の意味がよくわからない層も多いんだし。
このブログを見つけ、何と言ったらばいいのかわからず。
httpsを使ったフィッシング(星澤裕二メモ)
サイトの電子証明書は認証機関(CA)が発行するに当り、「とあるドメインのとあるサイトが確実に存在するのか」を証明するものであって。
「それが安全か否か」を証明するものでは無いんですが。
(脱線しますが、実際に罠入りのサイトがこれを利用している例もチラホラとあるようで)
今回の話は、かなり微妙で。
citybank.comかcitibank.comかの違いはあるものの。認証機関の担当者がよくこんなドメインの電子証明書を発行したものだと。
認証機関が電子証明書を発行するに当り、身元を確認したりまたこのような悪意あるサイト運営者か否かを考慮しないものなんですかね。
これは「接続先が本当にそのドメイン(この場合は本当の意味でのcitybank)のサイトなのか否か」が判別できないとの話ではないんですが。結局は本当のシティバンクのサイトか否かがわからず、ゴタゴタになってると。
人のやる事だから、穴なりミスはあると思われますが。
他にもcitybanc.comとかcitybanks.comとかcitybonk.comとか、応用例は幾らでもありそうな。
citybankにしてもも、タイプミスでありがちな似たようなドメインは、念のため自己防衛のために取得しておけばいいのに。
このようなユーザーの錯誤を期待したドメインの取得者は、訴訟の対象となり。また大抵の場合は敗訴になるらしいです。
(Mikerowsoftの場合は、MSが折れたようですが)
DNS Poisoningについての記事があったので紹介する。
こっちの方が少し詳しい。
ABX toolbarですか。と言う事で早速試す。
isjm040131さんがB.D.Cのフォーラムにて紹介してた、ABX Toolbar - New Malware on the Net(Spyware Warrior)を発見。
XP SP2でIEのセキュリティ設定を極力落とし、表示されたサイトをどんどん信頼済みサイトへ登録。
うーん、何も起きない。VPCのゲスト作りが進んでないので、Windows2000で後日試してみよう。
DNSワイルドカードと言えば、www.example.comでもwww2.example.comでも同じサーバーに接続するようになる機能なんだろうけど、どんなメールアドレスなのだろうか。
「support@barclays.co.uk.example.com」みたいなものなのかな。
何か微妙に違うような気もする。
少し話は違うのだが、http://windowsupdate.microsoft.com.example.com/みたいなURIを何度か見た記憶がある。このURIを開いても、接続されるのはマイクロソフトではなくexample.comになるのだが。
それに気付かない層も多いのだろう。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-05 ファーミング詐欺とDNS(フィッシング詐欺に非ず)(http://d.hatena.ne.jp/LucaLuca/20050305)を修正・加筆し移転したものです。
DNSとpharming(ファーミング)、その手口について
DNS(Domain Name System) とは簡単に書いてしまえば、ホスト名を含んだFQDN(www.example.comなど)とIPアドレスの対応表のようなものだ。ホスト名・FQDNだけではどこのどのサーバーなのかわからないが、これをIPアドレスに変換(正引き)する仕組み。IPアドレスは住所のようなもので、これによりネット上のどこに目的地があるのかを指定できるのだ。なお一つのIPアドレスを持ったサーバーに、複数のURI(www.example.netやwww2.example.net、www.example.com)を割り当てるのも可能である。
(2005-4-21 厳密には「http://www.example.com/」なるURIのwwwがホスト名、example.comがドメイン名、www.example.comそのものはFQDN:完全修飾ドメインであるとの指摘を受けたため、記述を一部修正した)
pharming(ファーミング)はこの「対応表」を不正なものにすると考えてもらいたい。これによりブラウザのアドレス欄に表示されているアドレスが「http://www.google.co.jp」であっても、実際には「http://www.yahoo.co.jp」なりその他のサイトを開かせられるようになる。
フィッシングとの違いは、フィッシングは正しいURIを開いているように「見せかける」ものであるのに対し、ファーミングはURIそのものの表示などは偽装しない点。
手口としてはDNSサーバーへの攻撃により実現するDNSポイゾニングや、エンドユーザーのパソコンを直接アレするhostsファイル、その他色々考えられそうな。
フィッシングはオンライン詐欺の一種(関連記事)。ユーザーを正規のサイト(ショッピング・サイトや銀行/クレジット・カード会社のサイトなど)に見せかけた偽サイトへ誘導し,クレジット・カード番号やサービスのパスワードといった個人情報を入力させて盗む。
「ユーザーが“正規のURL”をブラウザに入力しても,偽サイトへ“自動的”に誘導される」――。これがファーミングである。
具体的には,(1)ウイルス(ワーム)などを使って,クライアントのhostsファイル[用語解説])を書き換える,(2)DNSサーバーに虚偽の情報をキャッシュさせる(これは「DNSポイズニング」と呼ばれる)――など。つまり,アドレス解決時にhostsファイルやDNSサーバーから偽のIPアドレスを返させて,偽サイトへ誘導するのである。
pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?(IT Pro)
DNSポイゾニング(DNS poisoning)
DNSポイゾニングについて紹介しているページがあった。この例ではDNSサーバーへの攻撃によるものなのだが、難しいような予感がする。
1 攻撃対象のユーザが利用するDNSサーバに、ユーザが利用するであろうサイトのドメイン名(www.example.com)についてIPアドレスの問い合わせを行う。
2 DNSサーバは問い合わせ対象の情報が自ドメインの管理下にないため当該ドメインのDNSサーバに要求を転送する。
3 攻撃者は2の要求転送先であるDNSサーバになりすまし、誘導したいIPアドレスを回答として送信する。
DNSポイゾニングに関するメモ:武田圭史
BINDに何か新規の脆弱性などがありそれを悪用されるような事態に陥れば、どうなるんだろう。何百・何千人もまとめてドボン、であるのだな。
hostsファイルとDNSの名前解決
hostsファイルへ登録されたホスト・IPアドレスは、DNSサーバーへの照会よりも優先度が高くなる。
hosts ファイルの編集手順(Microsoft)でも取り上げられているが、マルウェア配布者がhostsファイルを利用する例がある。不正な内容を含むhostsファイルをユーザーのパソコンに作成させてしまえば、ファーミング(pharming)・Web spoofingを容易に行える。
もっともこの方法は、hostsファイルを作成させるために予め何らかのマルウェアに感染させる必要がある。
(なおWeb Spoofingだけではなく、このhostsファイルを使ったテクニックにより、アンチウイルスソフトのアップデートの妨害やWindows Updateへの接続のブロックなどの悪質な悪戯も可能である)
Hostsファイルによる名前解決については、以下の2つが詳しいので見てもらいたい。
一番のポイントは、HostsファイルによるDNSの名前解決は、DNSサーバーへの問い合わせによる名前解決よりも優先される点である。
リモート・ネットワークの名前解決をhosts/lmhostsで行う(@IT:Windows TIPS)
「名前解決」あれやこれや(大橋のページ)
2005-4-21追記 hostsファイルフィッシングよるDNS悪用 - フィッシング・ファーミング詐欺
ファーミング詐欺の手法解説としては最も読みやすいものなんだけど。29.99ドル払って導入してDNSの名前解決の順序(始めにHostsファイル、次にDNS)を入れ替えるよりは、レジストリの設定であっけなくできそうな気がする。
ホストファイルフィッシングでは、OSの中に含まれているhostsファイルを書き換えることで偽サイトに誘導する。例えば「www.citibank.com」に対応する偽サイトのIPアドレスを書き込むといった具合だ。hostsファイルが書き換えられると、DNSを経由することなくhostsファイルに書き込まれたIPアドレスが参照・表示されてしまうため、ユーザーがブラウザのアドレスバーに手動で「www.citibank.com」と入力しても偽サイトにつながるわけだ。アドレスバーに表示されているURLも「www.citibank.com」であり、ユーザーが自分でURLを打ち込んだという安心感があることから、偽サイトがうまく作り込まれていれば、まったく疑うことなく個人情報を入力してしまう可能性が極めて高い。
Anonymizer 2005では、ブラウザにURLを入力したときにhostsファイルを無視し、必ずDNSを参照するようにすることでホストファイルフィッシングを防ぐ。対応OSはWindows XP/2000。年額29.99ドル
OSのhostsファイルを書き換えてしまう新手のフィッシング詐欺に注意(INTERNET Watch)
同じINTERNET Watchの記事なんだけど、こちらはあまりにもアレなのです。
OSのhostsファイルが書き換えられると、アドレスバーに直接入力したサイトとは別のサイトにアクセスしてしまう。こうして偽サイトにアクセスしたユーザーは、アドレスを直接入力したためにアクセスしたサイトを本物と信じ込んでしまい、個人情報の詐取も容易になるという。
ファーミングの手法としてはこのほか、キー入力を記録するキーロガーなどの「クライムウェア」をインストールされてしまうケースもある。また、DNSサーバーのデータを書き換えるなどしてユーザーを悪意のあるサイトに誘導できる「DNAキャッシュポイズニング」の手法も警告した。
なお、2月にはSecuniaなどのセキュリティベンダー各社が、Internet Explorer以外の主要ブラウザに国際化ドメイン名(IDN)を悪用したURL偽装問題があることを指摘していたが、APWGによれば「IDNの問題を悪用したフィッシング詐欺は発生していない」としている。
フィッシングの手法に変化、悪質なコードを仕込むファーミング警告(INTERNET Watch, 鷹木 創)
記事全体が練られて無いと言うか、話がバラバラな。
キーロガーそのものはファーミング詐欺を引き起こす手法ではあるまいに。
またクライムウェア(crimeware)なる用語は、以前どこかで見た折に違和感を感じた。大体crimeか否かは、何らかの(技術とはかけ離れた)主観が入らなければ成立し得ないような。マルウェア(Malware)の範疇の中の悪質で犯罪性が強いもの、の意味なんだろうが、Gooleで全言語で400件だし一般的ではない。
CrimeWareがマルウェアではないとは言わないが、イメージ戦略のために生まれたテクニカルターム?としか思えない印象がある。
ドメインの乗っ取り
少し毛色が違う話だが。
ドメインの所有者であるよう装ってレジストラに連絡し、その登録内容を変更してしまう。例としてhttp://www.example.com/のリンクが本来の123.123.123.abcではなく234.234.234.defを指すようにし、全く異なるサーバーへ接続させてしまうのだ。
アルジャジーラのサイト書き換えは、Webサーバーへのハッキングではなく、この方法によるものだったようだ。
ハッカーが『アルジャジーラ』サイトの攻撃を批判(WIRED NEWS)
QueryIpMatching
Windows OSは設定によっては、問い合わせてもいない(queryを送っていない)DNSサーバーからの「返信(DNS reply)」を信じ込んでキャッシュしてしまう。この攻撃はWindows9x/2000/XPなどのクライアント機をターゲットにでき、ローカルに信頼できないようなパソコンを接続する危険性を考えさせられてしまう。
これを予防するには「問い合わせたDNSサーバ以外からの応答を受け取らない(Windows XPスマートチューニング)」のようにレジストリを設定するか、もしくはブロードバンドルーターで不正な応答を捨ててしまえばよい。
この問題を検証して報告したMLの投稿があった。興味があるならば見てもらいたい。
「[port139ml:03435] Re: IpQueryMatching」
ファーミング詐欺対策としてのSSL
高木浩光氏がこのファーミング問題について言及していた。SSLで保護されていない場所で個人情報を入力しない、これが最も手っ取り早くわかりやすく、そして教えやすいような。
プリントアウトして何度も読み返した。皆さんも是非とも見てもらいたい、大変ためになる内容である。
hostsの書き換えで誘導される偽サイトは、ドメイン名は本物であるのだから、本物ドメイン名でのSSLのサーバ証明書を、詐欺師達は持つことができない(認証局がミスをしない限り)ので、もし https:// ページになっているなら、必ずブラウザが警告を出す。
偽サイトがよそのサイト用の正規のサーバ証明書を使っているなら、IEでは「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」と出るし、偽サイトがサイト名を一致させようとすれば、偽の認証局から発行するしかないので、「このセキュリティ証明書は、信頼する会社から発行されていません」と出る。Firefoxならば、「あなたの個人情報を入手するために www.example.co.jp であると偽装しているサイトに接続しようとしています」とズバリそのものの警告が出る。
ファーミング詐欺と区別がつかない自治体電子申請サイト(高木浩光@自宅の日記)
こんな記事もあったけど。「ディジタル証明書の内容をチェック」と言われても、警告の意味がよくわからない層も多いんだし。
また,DNSサーバーに虚偽の情報をキャッシュされた場合などに備えて,個人情報などを入力するページでは,SSLが使われていることを確認するとともに,ディジタル証明書の内容をチェックしたい。DNSポイズニング攻撃などを受けないように,DNSサーバーの管理者がきちんと対策を施すことも重要だ。
「pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?(IT Pro)(http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/index2.shtml)」
httpsであっても、本当にそのサイトなのか否かが
このブログを見つけ、何と言ったらばいいのかわからず。
httpsを使ったフィッシング(星澤裕二メモ)
サイトの電子証明書は認証機関(CA)が発行するに当り、「とあるドメインのとあるサイトが確実に存在するのか」を証明するものであって。
「それが安全か否か」を証明するものでは無いんですが。
(脱線しますが、実際に罠入りのサイトがこれを利用している例もチラホラとあるようで)
今回の話は、かなり微妙で。
citybank.comかcitibank.comかの違いはあるものの。認証機関の担当者がよくこんなドメインの電子証明書を発行したものだと。
認証機関が電子証明書を発行するに当り、身元を確認したりまたこのような悪意あるサイト運営者か否かを考慮しないものなんですかね。
これは「接続先が本当にそのドメイン(この場合は本当の意味でのcitybank)のサイトなのか否か」が判別できないとの話ではないんですが。結局は本当のシティバンクのサイトか否かがわからず、ゴタゴタになってると。
人のやる事だから、穴なりミスはあると思われますが。
他にもcitybanc.comとかcitybanks.comとかcitybonk.comとか、応用例は幾らでもありそうな。
citybankにしてもも、タイプミスでありがちな似たようなドメインは、念のため自己防衛のために取得しておけばいいのに。
このようなユーザーの錯誤を期待したドメインの取得者は、訴訟の対象となり。また大抵の場合は敗訴になるらしいです。
(Mikerowsoftの場合は、MSが折れたようですが)
DNS PoisoningとABX toolbar
DNS Poisoningについての記事があったので紹介する。
この攻撃は、インターネット上のホワイトページ(個人電話帳)として動作するDNS(Domain Name System)サーバを不正に操作して、人気ウェブサイトのIPアドレスを、攻撃者が設置した悪質なサイトのアドレスに書き換えるというものだ。
Internet Storm Centerによれば、先ごろ発見されたSymantec製ファイアウォールおよびゲートウェイセキュリティアプライアンスの欠陥が、今回のDNS Poisoningの発生に関係している可能性があるという。だが、Symantec製品を使用していないサイトも被害にあっているとLamは指摘している。
DNS Poisoningを駆使して、一見正規のものに見えるが、その実、個人情報を収集するサイトにユーザーを誘導するという手法は、比較的新しい。一部のセキュリティ対策企業は、これを「Pharming」と呼んでいる。
DNSサーバを不正操作するフィッシング手法が出現--専門家が警告(CNET Japan)
こっちの方が少し詳しい。
米Symantecは4日、同社の企業向けセキュリティゲートウェイ製品に“DNSキャッシュポイズニング”の脆弱性があるとして修正パッチを公開した。
Symantecのゲートウェイ製品に含まれるDNS機能にも、DNSのキャッシュテーブルに偽のDNSレコードを書き込まれてしまという脆弱性があったのだという。「Symantec Gateway Security Appliance 2.0.1」「Symantec Enterprise Firewall 8.0」などが影響を受ける。
「google.com」「ebay.com」などのよく知られたサイトにアクセスしようとすると、別のサーバーにリダイレクトされ、そこではユーザーのPCに「ABX toolbar」というスパイウェアのインストールを試みるという。
Symantecのゲートウェイ製品に“DNSキャッシュポイズニング”の脆弱性(2005-3-8 INTERNET Watch)
ABX toolbarですか。と言う事で早速試す。
isjm040131さんがB.D.Cのフォーラムにて紹介してた、ABX Toolbar - New Malware on the Net(Spyware Warrior)を発見。
XP SP2でIEのセキュリティ設定を極力落とし、表示されたサイトをどんどん信頼済みサイトへ登録。
うーん、何も起きない。VPCのゲスト作りが進んでないので、Windows2000で後日試してみよう。
DNSワイルドカード
その一例としてマストラス氏は、最近イギリスのバークレイズ銀行が標的となったフィッシング詐欺を挙げた。送信された電子メールのメッセージに含まれていたリンクは、前半の文字列こそ「barclays.co.uk」と正しいURLのものだったが、これに続く文字列がユーザーを同銀行とは別のサイトへ導くものだった。
マストラス氏はこのとき用いられた手法を「DNSワイルドカード」と呼んだ。一部誤って入力された電子メールアドレスを正しいアドレスに変換するため、DNSレコードで使用するのがいわゆるワイルドカード機能だが、最近スパム業者がこれを悪用するようになり、現在ではフィッシング詐欺で使われているという。
正しいURLを偽サイトにつなげる「ファーミング詐欺」(上)(WIRED NEWS)
DNSワイルドカードと言えば、www.example.comでもwww2.example.comでも同じサーバーに接続するようになる機能なんだろうけど、どんなメールアドレスなのだろうか。
「support@barclays.co.uk.example.com」みたいなものなのかな。
何か微妙に違うような気もする。
ドメインの詐称とは違うレベルの話
少し話は違うのだが、http://windowsupdate.microsoft.com.example.com/みたいなURIを何度か見た記憶がある。このURIを開いても、接続されるのはマイクロソフトではなくexample.comになるのだが。
それに気付かない層も多いのだろう。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-05 ファーミング詐欺とDNS(フィッシング詐欺に非ず)(http://d.hatena.ne.jp/LucaLuca/20050305)を修正・加筆し移転したものです。
