ファーミングとは？フィッシングとの違いや詐欺対策

ファーミングとは？

ファーミング（pharming）とは、ユーザーを不正なウェブサイトにリダイレクトしたり、コンピュータシステムを操作して機密情報を収集したりするサイバー攻撃の一種です。「製薬会社を装ったフィッシング」や「おとりのないフィッシング」としても知られる「ファーミング」は、「フィッシング（phishing）」と「ファーミング（farming）」という言葉を組み合わせたもので、攻撃の大規模な性質を示しています。

ファーミング攻撃では、悪意のある個人やグループがさまざまな技術を利用してユーザーを欺き、オンライン バンキング ポータル、小売ショッピング プラットフォーム、ソーシャル メディア ネットワークなどの正規サイトによく似た偽のウェブサイトに誘導します。このような攻撃の最終的な目的は、ユーザーを騙して、ユーザー名、パスワード、クレジットカード情報、その他の機密データなどの個人情報を漏洩させることです。

ファーミングは、ユーザーを騙して個人情報を漏洩させる脅威であるという点でフィッシングに似ていますが、攻撃ベクトルとしてメールに依存する代わりに、ファーミングは被害者のデバイス上で実行される悪意のあるコードを使用して、攻撃者が制御するウェブサイトにリダイレクトします。ファーミングは被害者のコンピュータ上でコードを実行するため、攻撃者は標的ユーザーがリンクをクリックしたり、メールに返信したりすることに依存しません。代わりに、悪意のあるコードが標的ユーザーを攻撃者のウェブサイトに直接誘導するため、ユーザーがリンクをクリックするという余分なステップが不要になります。

ファーミングの仕組み

ファーミングは、インターネット ユーザーを偽のウェブサイトにリダイレクトして、ログイン資格情報、クレジット カード情報、社会保障番号などの個人情報や財務情報を盗む、高度な種類の不正行為です。ファーミングには多くの形態がありますが、一般的には以下のいずれかの手法を用いて実行されます。

• マルウェア感染: コンピュータウイルス、トロイの木馬、キーロガーなどのマルウェアがファーミング攻撃の実行に使用されることがあります。これらの悪意のあるプログラムは、ユーザーのコンピュータやネットワークに感染し、DNS設定を変更したり、hostsファイルを操作したりする可能性があります。ユーザーが正規のウェブサイトにアクセスしようとすると、知らずに悪意のあるサイトにリダイレクトされます。
• DNSキャッシュ ポイズニング: ドメイン ネーム システム（DNS）の脆弱性を悪用することも、サイバー攻撃者がファーミングを実行するもう一つの方法です。DNSは、ドメイン名をコンピュータが理解できるIPアドレスに変換する役割を担っています。DNSキャッシュを汚染（ポイズニング）することで、攻撃者はドメイン名とIPアドレス間のマッピングを操作できます。
• hostsファイルの改ざん: 別の手法として、ユーザーのコンピュータ上のhostsファイルやローカル ネットワーク上のDNS設定を変更することがあります。hostsファイルは、コンピュータ上のローカルファイルであり、ドメイン名を特定のIPアドレスにマッピングします。攻撃者はこのファイルを変更して、ユーザーを正規のウェブサイトではなく悪意のあるウェブサイトにリダイレクトすることができます。
• 不正なDNSサーバー: 攻撃者は不正なDNSサーバーを設置したり、既存のサーバーを侵害したりすることができます。ユーザーが正規のウェブサイトを訪問しようとすると、そのリクエストはこれらの悪意のあるDNSサーバーにリダイレクトされます。これらのサーバーは偽のIPアドレスを提供し、本物を模倣した不正なウェブサイトにユーザーを誘導します。

ユーザーが不正なウェブサイトにリダイレクトされると、多くの場合、機密情報の入力を求められ、攻撃者はそれを捕捉します。攻撃者はこの情報を、個人情報の盗難、金融詐欺、不正なアカウントアクセスなど、さまざまな悪意のある目的で悪用します。

ファーミングの種類

ファーミング攻撃には主に2つの種類があります。DNSベースのファーミングとホストベースのファーミングです。各タイプの中には、攻撃者が使用する特定の手法があります。それぞれを詳しく見ていきましょう。

DNSベースのファーミング

DNSベースのファーミング攻撃は、DNSインフラストラクチャの脆弱性を悪用して、ユーザーを悪意のあるウェブサイトにリダイレクトします。このタイプの攻撃には通常、以下の手法が含まれます。

• DNSキャッシュ ポイズニング: 攻撃者はDNSサーバーまたはルーターのDNSキャッシュを操作して、ドメイン名とIPアドレスのマッピングを書き換えます。偽のDNSレコードをキャッシュに注入することで、ユーザーを不正なウェブサイトにリダイレクトできます。
• DNSサーバーの侵害: DNSサーバーへの不正アクセスにより、攻撃者はDNS設定を変更してドメイン名に関連付けられたIPアドレスを変更し、それによってユーザーを悪意のあるウェブサイトにリダイレクトします。
• DNSハイジャック: 攻撃者はユーザーのコンピュータまたはルーター上のDNS設定を侵害して、DNSリクエストを悪意のあるDNSサーバーにリダイレクトさせます。これらのサーバーは偽のIPアドレスを提供し、ユーザーを不正なウェブサイトに誘導します。
• クレデンシャル ファーミング: クレデンシャル ハーベスティングやログイン資格情報の盗難としても知られるこのタイプのファーミング攻撃は、DNS設定やhostsファイルを操作したり、他の技術を用いたりしてユーザーを正規サイトに見せかけた偽のウェブサイトにリダイレクトさせ、ユーザーのログイン資格情報を盗みます。

ホストベースのファーミング

このタイプのファーミング攻撃は、以下の手法を通じて、ユーザーのコンピュータ上のhostsファイルやローカルネットワーク上のDNS設定を操作します。

• ローカル hostsファイルの改ざん: 攻撃者が被害者のコンピュータ上のhostsファイルを変更すると、正規のウェブサイトに対するユーザーのリクエストを悪意のあるIPアドレスにリダイレクトできます。
• ルーターDNS設定の操作: 攻撃者はローカル ネットワークのルーター上のDNS設定を標的にすることができます。ユーザーがネットワークに接続すると、DNSリクエストは偽のウェブサイトを指し示す悪意のあるDNSサーバーにリダイレクトされます。
• マルウェア ファーミング: 攻撃者はコンピュータウイルス、トロイの木馬、キーロガーなどのマルウェアを使用して、ユーザーのコンピュータやネットワークに感染させることができます。このマルウェアはDNS設定やhostsファイルを変更し、ユーザーを悪意のあるウェブサイトにリダイレクトします。

さまざまな種類のファーミング攻撃は、フィッシングメールや欺瞞的なウェブサイトデザインなどの他のソーシャル エンジニアリング技術と組み合わせて、その有効性を高めることができます。疑うことを知らないユーザーを不正なウェブサイトに誘導することで、攻撃者は情報を盗む可能性を高めます。

ファーミングの事例

ファーミングは数十年にわたり蔓延しているサイバー脅威です。以下は、ファーミングの最も注目すべき実際の事例の一部です。

• DNS Changerマルウェア: このファーミング攻撃は世界中の数百万台のコンピュータに感染し、ユーザーのウェブトラフィックを不正なウェブサイトにリダイレクトしました。感染したマシンのDNS設定を変更し、攻撃者が制御する悪意のあるサーバーにユーザーをリダイレクトしました。結果、攻撃者は機密情報を傍受し、さまざまな不正行為を実行することができました。
• ベネズエラのボランティア団体への攻撃: 2014年、ハッカー集団がベネズエラのボランティア団体に対してファーミング攻撃を開始しました。攻撃者は、団体の正規サイトに見せかけた偽のウェブサイトにユーザーをリダイレクトし、個人情報を盗みました。
• 50行以上の銀行を標的とした攻撃: 2007年、50以上の金融機関を標的とした高度なファーミング攻撃が発生しました。攻撃者はマルウェアとDNSサーバーポイズニングを組み合わせて使用し、ユーザーを偽のウェブサイトにリダイレクトしてログイン資格情報を盗みました。
• Operation Ghost Click: 2011年、FBIはOperation Ghost Clickを摘発しました。これはDNS Changerベースの大規模な攻撃で、世界中で400万台以上のコンピュータに感染し、ユーザーを偽のウェブサイトや広告にリダイレクトしました。攻撃者は不正行為によって生み出された広告収入から利益を得ていました。
• 最初のドライブバイ ファーミング攻撃: 2008年、Symantecはメキシコの銀行に対する最初の「ドライブバイ」ファーミング攻撃の事例を報告しました。攻撃者は銀行のルーターの脆弱性を利用して、ユーザーを偽のウェブサイトにリダイレクトし、個人情報を盗みました。

サイバー脅威は常に進化しているため、ファーミング攻撃の新たな変種や進歩が登場する可能性が高いです。この必然性は、常に警戒し、このような攻撃から身を守るためにサイバーセキュリティのベストプラクティスを採用することの重要性を強調しています。

ファーミングとマルウェア

ファーミング攻撃は電子メールに依存しないため、ユーザーをリダイレクトさせてデータを盗むためにマルウェアが使用されます。マルウェアのインストールファイルが最初に実行される必要があり、その後は、再起動するたびにコンピュータ上でマルウェアが動作するようになります。マルウェアは正常に動作するはずですが、脅威の作成者はソフトウェアをほとんどテストせず、ソフトウェアにバグを混入させることがよくあります。バグは、意図しないクラッシュ、再起動、ブルースクリーン・オブ・デス、その他のコンピュータの問題を引き起こす可能性があります。マルウェアの主要な機能に影響を与えるようなバグは、データを盗むのに有効ではないかもしれません。それでも、コンピュータの操作に影響を与え、使用できなくなる可能性があります。

ファーミングで使用されるもう一つの方法は、DNSポイズニングです。マルウェアがローカルコンピュータのDNS設定を変更し、ユーザーがブラウザにドメインを入力すると、悪意のあるサイトへリダイレクトさせます。インターネットに接続するすべてのコンピュータは、設定されたDNS設定を使用しており、DNSサーバーは、インターネット上のすべてのドメインのIPアドレスを保存しています。ブラウザがルックアップを実行すると、DNSサーバーに記載されているIPアドレスへユーザーを誘導します。DNSポイズニングでは、IPアドレスは攻撃者のサーバーにあるドメインにリンクされています。

ファーミング攻撃の兆候

ファーミング攻撃はユーザーにとってますます欺瞞的になっているため、検出は困難になっています。しかし、いくつかの兆候がファーミング攻撃の可能性を示唆している場合があります。以下にその兆候を示します。

• よく知っているウェブサイトを訪問した際の通常とは異なる動作や予期せぬ変更（例：異なるレイアウト、ロゴの欠落や変更、個人情報を尋ねる疑わしいプロンプト）
• ウェブサイトへのリンクを含む、身に覚えのないメールやテキスト メッセージの受信
• 個人情報の入力を求めるポップアップや警告
• ブラウザのアドレスバーに表示されるウェブアドレスやURLが、予期したものと異なっていたり、通常とは異なる文字、追加のサブドメイン、スペルミスなどが含まれていたりする
• ウェブブラウザが、訪問しようとしたサイトとは異なるウェブサイトやURLにリダイレクトする
• 以前は有効なSSL証明書が表示され、エラーや警告がなかったウェブサイトを訪問した際に、SSL証明書のエラーや警告が表示される
• 突然のネットワークまたはインターネット接続の問題（DNS設定が侵害されている可能性を示唆）
• 自分が行っていない金融取引など、通常とは異なるアカウント アクティビティ

これらの警告サインに注意を払うことに加えて、身に覚えのないメールやテキストメッセージ内のリンクをクリックすることを避け、オンラインで個人情報を入力する際には注意が必要です。

ファーミングとフィッシングの違い

フィッシングとファーミングは、ユーザーを騙して個人情報を流出させるという点では似ていますが、被害者を騙すために使われる手法が異なります。

フィッシング攻撃では、脅威アクターはユーザーを欺くために、公式な業務に見せかけた電子メールを作成します。フィッシングメールには通常、攻撃を成功させるためにユーザーがクリックしなければならないリンクが含まれています。また、フィッシングは、ソーシャルエンジニアリング手法を用いて攻撃を強化し、意図した被害者から金銭やデータを盗み出す可能性を高めることもできます。

ファーミング攻撃では、マルウェアがコンピュータのバックグラウンドプロセスとして実行され、Webリクエストを傍受してユーザーを悪意のあるWebサイトにリダイレクトさせるため、電子メールメッセージは必要ありません。マルウェアの初期実行以外に、ユーザーとの対話は必要ありません。マルウェアは一度実行されると、コンピュータを再起動した後でも持続します。ユーザーの行動を監視したり、ポップアップを表示したり、ブラウザの設定を乗っ取ったりするファイルを削除できるのは、マルウェア駆除ツールだけです。

ファーミング詐欺への対策

ファーミングの被害に遭わないための手順やベストプラクティスは、ウイルスやその他のローカルマシンのマルウェアを防ぐためのアドバイスと似ています。添付ファイル付きの電子メール、特に添付ファイルが実行ファイルである場合は、常に疑ってかかるべきです。Microsoft WordやExcelなどのマクロを含むファイルも、悪質なコードを実行する可能性があります。マクロは、信頼できるソースからのファイルであることが確かでない限り、ブロックする必要があります。

その他、被害者にならないためのベストプラクティスを以下に紹介します。

• ファーミング攻撃で一般的に使用される手法であるDNSサーバーポイズニングから保護するために、安全なDNSサービスを使用する。
• システムを最新のセキュリティパッチで最新の状態に保つ。ファーミング攻撃はソフトウェアの既知の脆弱性に依存するため、ソフトウェアを最新に保つことがこれらの攻撃の防止に役立つ。
• オンラインで個人情報を入力する際は注意する。ログイン資格情報や財務データなどの機密情報を送信する前に、正規の安全なウェブサイトであることを確認する。
• リンクをクリックしたり情報を入力したりする前に、ウェブサイトのURLを再確認する。URLにHTTPSが含まれているかを確認し、ウェブサイトのアドレスが正規のサイトと一致することを確認する。
• 可能な場合は常に二要素認証または多要素認証を使用して、アカウントにセキュリティの層を追加する。
• ルーターのデフォルトの管理者パスワードを変更し、Wi-Fiネットワークで暗号化（WPA2など）を有効にし、ファームウェアの更新を定期的に確認することで、自宅やオフィスのWi-Fiネットワークを保護する。
• インターネットを気軽に閲覧している場合でも、任意の公共Wi-Fiネットワークや不明なホットスポットへの接続を避ける。
• 信頼できるウイルス対策ソフトウェアとVPNサービス（またはVPN代替手段）を活用して、マルウェアから身を守り、オンラインでのプライバシーを保護する。

これらの予防策に従い、健全なサイバーセキュリティ意識を維持することで、ファーミング攻撃の被害に遭うリスクを大幅に最小限に抑えることができます。

ファーミング対策ソリューション

ファーミング攻撃を防ぐためには技術的な対策やセキュリティ対策の実践が不可欠ですが、セキュリティ意識向上はファーミングに対する最善の防御策の一つです。疑わしい警告サインを認識すること、ウェブサイトの真正性を検証すること、そしてソーシャル エンジニアリングの手口を特定することは、ファーミング攻撃や関連するサイバー脅威をより効果的に防ぐための、すべて人に依存する方法です。

ファーミングは、ユーザーがリンクをクリックする必要がないため、フィッシングよりもはるかに効果的です。それにもかかわらず、フィッシングは依然として脅威アクターにとって一般的な攻撃ベクトルです。ファーミングは、プログラミング知識を持つ脅威アクターにとって有益です。マルウェア作成者は依然として悪意のあるプログラムを標的ユーザーに拡散させる必要があり、そのためメールメッセージが悪意のあるプログラムを意図した受信者に拡散させるために使用されます。マルウェアが標的ユーザーのコンピュータで実行された後、攻撃者は広告や悪意のあるウェブサイトから金銭や機密情報を収集できます。

メール経由であろうとファーミング経由であろうと、ユーザーは常に、メールに添付された実行可能ファイルや非公式のソフトウェアサイトからのファイルの実行を避けるべきです。ファーミングとフィッシングは資格情報や銀行情報を盗むことを目的としているため、添付ファイルや疑わしいウェブサイト上の悪意のあるソフトウェアの使用は避けてください。