攻撃と脅威
ファーミング
定義
DNS、hosts ファイル、ローカルルーティングなどを改ざんし、リンクをクリックさせずに正規サイトから悪意あるサイトへ密かにリダイレクトさせる攻撃。
ファーミングは、名前解決やネットワーク経路を改変することで、ユーザーが正しいドメインを入力しても攻撃者が用意したそっくりのサイトに誘導する手法です。代表的な手口は、DNS キャッシュの汚染、再帰リゾルバの侵害、マルウェアによるローカル hosts ファイルの書き換え、家庭用ルーターの DNS 設定の乗っ取りなどです。偽サイトでは、本物のサイトと同じ要領で資格情報・決済情報・多要素認証コードが収集されます。対策としては、DNSSEC、暗号化 DNS(DoH/DoT)、hosts 書き換えを防ぐエンドポイント保護、ルーターのハードニング、ブラウザおよび利用者による TLS 証明書の厳格な検証が有効です。
例
- マルウェアが Windows の hosts ファイルを書き換え、bank.example.com が攻撃者サーバー上の偽ログインページへ解決されるようにする。
- 侵害された家庭用ルーターが ISP の DNS を悪意あるリゾルバに置き換え、家庭全体の銀行通信を乗っ取る。
関連用語
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
DNS キャッシュポイズニング
DNS リゾルバのキャッシュに偽造レコードを挿入し、TTL が切れるまで以降の問い合わせが攻撃者指定のアドレスを返すようにする攻撃。
DNS ハイジャック
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
中間者攻撃 (MitM)
通信中の双方が直接やり取りしていると信じている間に、攻撃者が通信を密かに中継・改ざんする攻撃。
DNSSEC
DNS のゾーンデータを暗号署名する拡張仕様で、リゾルバが応答の真正性と完全性を検証できるようにする。