Pharming攻撃とは？

Pharmingの定義

Pharmingは、巧妙に仕組まれたサイバー攻撃の一種で、犯罪者が貴社の利用者を本来訪問すべき正規のサイトではなく偽のサイトへ誘導する手口です。これらの『偽装』サイトは、利用者の個人情報（PII）やログイン情報（例：パスワード、社会保障番号、口座番号など）を盗むか、あるいはPCにPharmingマルウェアを感染させることを目的としています。個人情報を狙うため、攻撃者は通常、銀行、オンライン決済サービス、ECサイトなどの金融系サイトを標的とします。

‍

Pharming攻撃の実際

Pharmingは、利用者がWebを閲覧できる仕組みの弱点を突く攻撃です。ドメインネームシステム（DNS）は、利用者がブラウザに入力するURLを、PCが認識できるインターネットプロトコル（IP）アドレスに変換します。IPアドレスによりPCはサイトの位置を把握し、ブラウザはそのIPアドレスを保持するDNSサーバと通信します。

利用者が特定のサイトを訪れると、ブラウザはそのDNS情報をキャッシュに保存するため、以降再度DNSサーバに問い合わせる必要がなくなります。

DNSキャッシュとDNSサーバは、サイバー犯罪者によるPharming攻撃に対して無力です。

Pharming攻撃の種類

DNSサーバのポイズニング

DNS攻撃では、利用者のサイトリクエストが誤ったIPアドレスに誘導されます。DNSサーバが乗っ取られると、本来のリクエストは別の偽のIPアドレスに向けられます。

DNSサーバのポイズニングは、マルウェアを用いる攻撃と異なり、利用者のファイルが変更される必要はありません。代わりに、DNSサーバの脆弱性を突いてDNSテーブルを改ざんし、利用者を気づかぬうちに偽サイトへ誘導します。大規模なDNSサーバが乗っ取られると、攻撃者はより多くの利用者を狙うことが可能となります。

攻撃者の偽装サイトへトラフィックを誘導することで、DNSキャッシュポイズニングはインターネット上の通信の流れを変えてしまいます。サイバー犯罪者は、DNSハイジャックを利用して、特に無料や公共Wi-Fiネットワーク上のDNSサーバや無防備なルーターの利用者を狙います。

マルウェアを用いたPharming

マルウェアを用いたPharmingでは、悪意あるメールやソフトのダウンロードを通じて、利用者がトロイの木馬やウイルス等のマルウェアに感染します。このマルウェアは、攻撃者が作成した偽または偽装サイトへ利用者を誘導し、そこで個人情報やログイン情報を盗み取ります。

メールで送られた悪意あるコードが利用者のPCに感染し、ローカルに保存されたファイルを改ざん・破損させ、保存されたIPアドレスを変更します。こうして改ざんされた情報が、本来訪れるべき正規サイトの代わりに、攻撃者の偽サイトへ誘導するのです。

‍

Pharming攻撃の例

2019年、ベネズエラで大規模なPharming攻撃が発生しました。その年、ベネズエラ大統領は「Voluntarios por Venezuela（ベネズエラのボランティア）」というプロジェクトへの参加者を公募しました。このプロジェクトは、現地で活動する国際NGOと労働者を結びつけることが目的でした。参加者は、氏名、個人識別番号、電話番号、住所などの情報を入力するサイトに登録するよう求められました。

最初のサイトが公開された数日後、第二のサイトが登場しました。ドメイン名やデザインがほぼ同一だったため見分けがつかず、しかしこれは偽サイトでした。ベネズエラの正規サイトと偽サイトは同じIPアドレスを指しており、そのIPは偽サイトの所有者のものです。つまり、利用者が正規サイトでも偽サイトでもアクセスすると、最終的には情報が偽サイトに集まることになります。（偽サイトは国外の別のIPアドレスを指していました。）

2015年、ブラジルではUTStarcomやTR-Link製のホームルーター利用者に対し、国内最大の通信会社を名乗るフィッシングメッセージが送信されました。メッセージ内のリンクからPharmingマルウェアがダウンロードされ、ルーターの脆弱性を突いてDNSサーバの設定が変更されました。

2007年、米国、欧州、アジアの50以上の金融機関が、最も深刻かつ注目されたPharming攻撃の標的となりました。それぞれの金融機関に対し、攻撃者は悪質なコードを埋め込んだ偽サイトを作成し、利用者のPCにトロイの木馬を強制的にダウンロードさせました。その後、該当金融機関のログイン情報が盗み取られました。攻撃は3日間続きましたが、被害者の正確な数は不明です。

‍

Pharmingの検出方法

Pharming攻撃は巧妙に行われるため、被害に気づくのが後手に回ることがあります。しかし、攻撃には利用者が気づく手がかりが残されています:

安全でない接続: URLが「http」で始まるサイトは、「https」で始まるサイトと比べ、安全でないか、改ざんされている恐れがあります。

偽装の兆候: サイトに誤字、変わったフォントや配色、あるいは全体的に見慣れないデザインが見受けられる場合、偽装されている可能性があります。

セキュリティ警告: Pharming攻撃の結果、利用者に対してサインインの確認が求められる場合があります。例えば、メールプロバイダーや銀行は、見慣れない端末や場所からのアクセスを検出することがあります。もし、自ら行っていない確認依頼が届いた場合は、該当サービスに連絡して報告することが望ましいです。

Pharming攻撃が成功すると、以下のような異常が発生する可能性があります:

• Mastercard、デビットカード、またはPayPalアカウントに通常とは異なる請求が記録される
• オンラインサービス等で、利用者が行っていないクレジットカード情報の変更が見られる
• SNS上で利用者が作成していない投稿やメッセージが送信されたり、見知らぬ人物から友達申請が届く
• 利用者がダウンロードやインストールしていない新たなアプリが端末に現れる

‍

Pharmingとフィッシングの違い

Pharmingとフィッシングの手法は似ているが、全く同一ではありません。

フィッシングは、サイバー犯罪者が有名企業からのように見せかけたメッセージを送り、悪意あるリンクで偽サイトへ誘導する手口です。利用者はそこでユーザ名やパスワード等の個人情報を入力してしまい、情報が犯罪に悪用される可能性があります。

Pharmingはフィッシングに似ていますが、餌を使いません。まず攻撃者は利用者のPCやサーバに悪意あるコードを仕込み、その後、自動的に偽サイトに誘導します。PCに対するPharmingでは、初めの誘導が不要なため、利用者は知らぬ間に偽サイトへリダイレクトされ、入力された個人情報が収集されます。

フィッシングは詐欺的なメッセージ等で金融情報を直接要求しますが、Pharmingは餌を使わず情報を盗むため、『餌なしのフィッシング』とも呼ばれます。利用者の気づかないうちに複数のPCに感染させるリスクがあるため、より危険ですが、攻撃にかかる労力が大きいため、発生頻度は低いといえます。

Pharming攻撃から守る方法

• 信頼できるISPを選ぶ。良いISPは不審なリダイレクトを阻止し、Pharmingサイトへのアクセスを防ぎます。
• 信頼できるDNSサーバを利用する。通常はISP提供のDNSサーバが使われますが、専用のDNSサービスに切り替えることでDNSポイズニング対策が強化される場合があります。
• リンクをクリックする際は必ずHTTPSから始まるものを選ぶ。‘s’はセキュリティ保持の証であり、有効な証明書が存在することを示します。サイト利用時にはアドレスバーの鍵マークも確認するとよいでしょう。
• 不審な送信者からのメールやメッセージ内のリンクはクリックせず、サイトを開かない。DNSポイズニングを完全に防ぐことは難しいですが、慎重に行動することで悪質なコードの感染を避けられます。
• URLに誤字がないかを確認する。攻撃者はドメイン名の文字を入れ替えたり欠落させることで利用者を騙すことがありますので、注意が必要です。
• 全体的に、怪しげなサイトは避ける。URLだけでなく、誤字・文法の誤り、見慣れないフォントや配色、内容の不足なども確認し、情報入力前に必ず再チェックすることが望ましいです。
• あまりにもお得すぎるオファーには注意する。詐欺師は、市場価格より大幅に低い割引などで利用者を誘い込もうとするため、現実味が感じられない場合は慎重になるべきです。
• 可能な場合は、二要素認証を有効にする。多くのサービスが二要素認証を提供しており、有効にすることで、たとえログイン情報が漏洩しても不正アクセスを防ぐことができます。
• Wi-Fiルーターの初期設定を変更する。プライベートネットワークにおいて、初期パスワードを強固なものに変更することでDNSポイズニングのリスクを下げられます。また、ファームウェアを常に最新状態に保つことも重要です。自動更新に対応していない場合は、ルーターの買い替えも検討してください。
• 最新状態の信頼できるマルウェア対策・アンチウイルスソフトを利用する。例えば、Kaspersky Total Securityはマルウェア、ウイルス、悪質なコードから保護し、24時間体制でデバイスとデータを守ります。アンチウイルスと最新のセキュリティ対策の実施が、Pharmingやフィッシングなどから守る最善の方法です。

Wallarmはどのようにこの攻撃を止めるか

Wallarmのセキュリティプラットフォームは、DNSサーバを守ることで組織をPharming攻撃から守ります。また、クラウドWAFはWallarmネットワーク全体から攻撃データを収集、集約するコミュニティ主導の技術を活用しています。

IPの評判を監視するなどの高度なセキュリティヒューリスティクスを導入することで、一般的な攻撃者やボットネットを追跡し、GoTestWAFセキュリティサービスはゼロデイ脅威に迅速に対応、さらに全体のネットワークを新たなリスクから守ります。加えて、WallarmのAPIセキュリティプラットフォームにより、製品全体を守ります。

Wallarmは攻撃の負荷を複数のデータセンターに分散させ、負荷を調整することで、サービスの中断を防ぎ、攻撃が対象サーバのリソースを圧迫することを防ぎます。