ファーミングとは、正規のWebサイトから偽のWebサイトにユーザをリダイレクトし、パスワードや金融情報などの機密データを窃取するサイバー攻撃です。多くの場合、フィッシングメールを利用してコンピュータやルーターを侵害し、Webトラフィックを偽装サイトへリダイレクトします。
目次
ファーミングの仕組み
ファーミング攻撃は、サイバー犯罪者がDNS(ドメインネームシステム)を操作したり、ユーザのデバイスを侵害して不正なWebサイトにリダイレクトしたりすることで発生します。DNSは、ブラウザが正しいWebサイトを読み込めるように、ドメイン名(www.example.comなど)をIPアドレスに変換するシステムです。ファーミング攻撃では、攻撃者はこのプロセスを不正に操作し、正規のWebサイトを模倣した悪意のあるWebサイトにユーザをリダイレクトします。
ファーミング攻撃は、一般的に以下の2つの形態で発生します。
ローカルファーミング
攻撃者は、ローカルDNS設定を改ざんするマルウェアをユーザのデバイスに感染させます。デバイスのホストファイルを改ざんすることで、ユーザが正しいURLを入力したとしても、不正なWebサイトにリダイレクトします。
DNSベースのファーミング
攻撃者はDNSサーバー自体を標的とし、個々のデバイスに直接侵入することなく、数千ものユーザからのトラフィックを悪意のあるWebサイトにリダイレクトします。
ファーミング攻撃はシームレスであるため、特に危険です。ユーザは不正なサイトにリダイレクトされたことに気づかないことが多いためです。これらの偽のWebサイトは正規のWebサイトと全く同じに見えるように設計されており、ユーザを騙して機密情報を入力させ、攻撃者に窃取されます。
ファーミングとフィッシング
ファーミングはフィッシングと混同されることがよくありますが、この2つのサイバー攻撃は根本的に異なります。フィッシングはソーシャルエンジニアリングを利用して、偽のメール、メッセージ、またはWebサイトを通じてユーザを騙し、個人情報を提供させます。一方、ファーミングはユーザとの直接的なやり取りを必要とせずに、ユーザを不正なサイトにリダイレクトします。
フィッシング攻撃では、ユーザは銀行を装ったメールを受信し、リンクをクリックしてログイン認証情報を入力するよう促されます。一方、ファーミングでは、ユーザにそのような操作は要求されません。銀行のURLを正しく入力しても、本物とそっくりな偽サイトにリダイレクトされる可能性があります。被害者は多くの場合、侵入されたことに気づかないため、ファーミングの検知は困難です。
ファーミング攻撃の実例
この種のサイバー攻撃がもたらす重大なリスクを示す、注目を集めたファーミング攻撃がいくつか発生しています。
2007年のpharming.orgへのファーミング攻撃
攻撃者は、主要なDNSサーバーをポイズニングすることで、大規模なインターネットユーザグループを標的にしました。数千人のユーザが偽の銀行Webサイトにリダイレクトされ、認証情報が窃取されました。この攻撃によりDNSセキュリティの脆弱性が露呈し、DNSの脆弱性に対する監視が強化されました。
2015年ブラジルにおけるDNSファーミング攻撃
攻撃者はブラジルの家庭ユーザのルーターを侵害し、人気のある銀行Webサイトの偽バージョンにリダイレクトしました。この攻撃はルーターのDNS設定を標的とし、多くの被害者が知らないうちに銀行の認証情報を攻撃者に渡してしまうという事態を引き起こしました。
2019年のDNSファーミング
攻撃者はパブリックDNSサーバーをポイズニングすることで中小企業を標的にしました。企業のWebサイトやメールポータルにログインしている従業員は、それらのサイトの偽バージョンにリダイレクトされ、攻撃者はログイン認証情報や機密性の高いビジネス情報を窃取することができました。この攻撃は、DNSファーミングがあらゆる規模の企業にもたらす潜在的な損害を浮き彫りにしました。
ファーミング攻撃の兆候
ファーミング攻撃の兆候を見分けるのは難しい場合がありますが、注意すべき兆候がいくつかあります。
異常なリダイレクト
見慣れたURLを入力したのに、別のサイトにリダイレクトされる場合は、ファーミング攻撃の兆候である可能性があります。
改変されたURL
ファーミングWebサイトは正規のWebサイトを模倣しますが、攻撃者はURLに文字を追加したり、単語のスペルを間違えたりするなど、URLにわずかな変更を加えることがよくあります。
HTTPSまたはSSL証明書の不足
正規のWebサイト、特に銀行情報などの機密データを扱うWebサイトは、HTTPS接続を使用しています。見慣れたWebサイトで突然HTTPSが無効になったり、南京錠アイコンが表示されなくなったりした場合は、詐欺サイトにアクセスしている可能性があります。
奇妙なポップアップやプロンプト
一部のファーミングサイトでは、正規サイトでは要求されないような個人情報の入力を求める、通常とは異なるポップアップやプロンプトが表示されることがあります。
これらの兆候に注意することで、ファーミング攻撃の被害に遭うのを防ぐことができます。
ファーミングのリスク
ファーミングは、個人と組織の両方に深刻なリスクをもたらします。
個人情報の盗難
攻撃者は、ログイン認証情報、クレジットカード番号、マイナンバーなどの機密情報を窃取し、個人情報の盗難やその他の詐欺を働く可能性があります。
金融詐欺
ファーミング攻撃は、多くの場合、銀行のWebサイトやオンライン決済ポータルを標的とし、攻撃者が気づかれずに被害者のアカウントから資金を詐取することを可能にします。
データ侵害
組織にとって、ファーミング攻撃は広範囲にわたるデータ侵害につながり、顧客情報、組織秘密、その他の機密データが漏えいする可能性があります。
風評被害
ファーミング攻撃の被害に遭った組織は、特に顧客データが漏えいした場合、深刻な評判の失墜を被る可能性があります。これは、信頼の喪失、法的措置、そして多大な経済的損失につながる可能性があります。
ファーミング攻撃の防止
幸いなことに、個人や組織がファーミング攻撃から身を守るために実行できる対策がいくつかあります。
ウイルス対策ソフトウェアとマルウェア対策ソフトウェアを更新する
セキュリティソフトウェアを定期的に更新することで、DNS設定を変更してファーミング攻撃を可能にするマルウェアを検出し、削除することができます。
安全なDNSサービスを使用する
DNSSEC(DNSセキュリティ拡張機能)を提供する、信頼性が高く安全なDNSサービスを利用することで、DNSレコードへの不正な変更を防ぎ、DNSレベルでファーミング攻撃をブロックできます。
2要素認証(2FA)を有効にする
2FAはオンラインアカウントにさらなる保護層を追加し、攻撃者がログイン認証情報を窃取したとしても、機密情報へのアクセスを困難にします。
SSL証明書を確認する
機密データを扱うWebサイトが有効なSSL証明書を使用していることを常に確認してください(URLに「HTTPS」と南京錠のマークがあることを確認してください)。これにより、デバイスとWebサイト間の安全で暗号化された接続が確保されます。
ネットワークアクティビティを定期的に監視する
組織は、ファーミング攻撃の兆候となる可能性のある異常なDNS変更やリダイレクトを検出するために、ネットワーク監視ツールを導入する必要があります。
サイバーセキュリティソリューションの役割
高度なサイバーセキュリティソリューションは、ファーミング攻撃の防止において重要な役割を果たします。
DNSフィルタリング
DNSフィルタリングツールは、DNSリクエストをリアルタイムで分析することで、既知の悪意のあるWebサイトへのアクセスをブロックします。これにより、DNS設定が改ざんされた場合でも、ユーザが不正なサイトへリダイレクトされるのを防ぐことができます。
ファイアウォール
堅牢なファイアウォールシステムは、ネットワークに出入りするトラフィックを監視・制御し、ファーミング攻撃がユーザに到達する前に阻止します。
エンドポイント保護ツール
これらのツールは、ファーミング攻撃の標的となるローカルDNS設定の変更に利用される可能性のあるマルウェアなどの脅威を特定し、軽減することで、個々のデバイスを包括的に保護します。
ゼロトラストセキュリティモデルの採用
デフォルトではユーザやデバイスを信頼しない環境は、ファーミングのリスクを最小限に抑えるのに役立ちます。ゼロトラストモデルは、ユーザとデバイスのIDを継続的に検証することで、正当な接続のみがネットワークリソースにアクセスできるようにします。
トレンドマイクロのメールセキュリティソリューション
Trend Vision One™ Email and Collaboration Securityは、メールおよびコラボレーションプラットフォームを標的とする高度な脅威に対する業界最先端の保護を提供します。AIを活用した脅威検出と動的サンドボックス分析により、フィッシング、ビジネスメール詐欺(BEC)、ランサムウェア、その他の標的型攻撃を阻止します。
送信者のIDを検証し、URLと添付ファイルをリアルタイムでスキャンし、世代を超えた脅威防御技術を活用することで、クラウドベースのコミュニケーションチャネル全体にわたる包括的な可視性と制御を提供します。