IT用語/フィッシング、ファーミング

フィッシング、ファーミング(作成:2017-02-05、追記:2018-01-02)


もくじ:



はじめに

詳細な説明:

フィッシング対策協議会で解説されているので、
詳しくはそちらをご覧ください。

曖昧でフワッフワな説明:

結論から言うと、別に難しい話ではなくて、
手紙や葉書の扱いと一緒です。
巧妙な偽手紙(偽メール)を送られることがあるので気をつけましょう、と。
内容をよく読んで、分からないことは信頼できる人・窓口に相談ましょう。


アナログでは無くデジタルだと、
人は危機意識が弱くなる傾向があるのでしょうか?

さておき、

  • フィッシングは
    犯人が本物を装って、ターゲットを「釣る」行為。
    だまされた人が本物のメールやサイトだと思って、個人情報を犯人に渡してしまう、など。
  • ファーミングは
    釣りから「農業」への亜種。本物のURLを入力したのに偽物のサイトに誘導する手法で、
    だまされた人が本物のメールやサイトだと思って、個人情報を犯人に渡してしまう、など。
    (DNSの知識が前提ですね。DNSキャッシュポイズニングがその一例。)

なお、

英語のつづりは「f」ではなく「ph」です。
「fishing」ではなく「phishing」&「pharming」
洗練された(sophisticated)詐欺だから、ですって。ph、ph!


以上、フワっフワな説明ですが [smile]
(phuwaっphuwaな説明)
ともあれ、
どの技術・行為までがフィッシングという線引きは無いんでしょうね。
釣り針(メール、Webサイト)の種類は今後も増えていくでしょうし、
企業や個人を狙い撃ちすれば「標的型攻撃」だし、
URLで一本釣りせずに「ソーシャルエンジニアリング」の前段階としての偽メールかもしれないし、
なんにせよ気を付けたいところです。

レッツ、フィッシング

で、具体的に、どんなメールが送られてくるのでしょうか。

今後どうなっていくかは分かりませんが、
まぁ、いま、パッと思いつくのはこんな感じ?

クリックで拡大

・・・改めて列挙してみると
なんだか、すげー面倒くせー事に(人間不信?になりそうです)・・・


まず送信元ですが、手紙と一緒で他人を名乗ることは簡単。
フィッシングではメールの返信はいらないので、
なりすましメールの場合があります。*1

不用意に添付ファイルを開いてはいけないのは言わずもがなですが、*2

  • RLO*3ってご存知でしょうか(情報処理試験に出ますよ)、これを使うと、
    「。すまきでがとこるえ変にみ読右を名ルイァフ」*4
    つまり、「○○.exe」という実行形式ファイルを「exe.○○」に偽装したりできます。
  • ファイル名だけでなく、アイコンも偽装すればより説得力?が増すことでしょう。
  • 添付ファイルが圧縮されていた場合に、ウィルス対策ソフトがその中身まで検査するとは限りません。
    パスワード付き圧縮ファイルならば、まず検査できません。
    (よって自己解凍圧縮ファイル(パスワード付き)にウィルスを忍ばせるのが手法の一つ)
  • シンプルな添付ファイルであっても
    最新の脆弱性(弱点)を突かれるとOSやウィルス対策ソフトで対応しきれない場合があります。
    (だからソフトウェアは最新の状態にしましょう)
     例として、悪意のある「○○.lnk」ファイルがエクスプローラー上で表示されるだけでアウト
     という脆弱性すらあったようです(CVE-2017-8464)

メール内でクリックするタイプのURLは、
クリック前に必ずステータスバー等を確認すること。
メールに書いてあるURLと、クリックしたときに表示されるサイトが
同じである保証はありません。*5

また、画像リンクを表示するということは、
インターネット上の画像をダウンロードするということです。
つまり画像を見たことがバレるんです(これをWebビーコンと言います)。
画像表示=悪、というわけではないのですが・・・

・・・悪用?するならば、私(null-i.net)から貴方へメールを送るときに、メール内に
「null-i.net/web_beacon_123456789.jpg」 の画像へのリンクを貼っておきます。
私は「web_beacon_123456789.jpg」がダウンロードされた形跡から、
貴方がいつ、どこからメールを読んだか間接的に知ることができるわけです [worried]
こういった情報をかき集めれば、「次の」攻撃に活かすことができます。


短縮URLとか、紛らわしいURLとか、
とにかく正しいかどうか確認がつかないURLにはアクセスしない事。
一般的な企業ならば、まずはその企業を検索してみましょう。
そうすれば企業のホームページと正式なURL(ドメイン名)が判明するので、
送られてきたメールの内容(URL/ドメイン)が一致するか確認できるはずです。*6


あと、残念なお知らせですが、
スマートフォンのメールアプリはPCと違って、全体的に「弱い」傾向がある気がします。

  • クリックした場合にどこのURLに接続されるか、事前に分からない
  • 画像が勝手にダウンロードされる
  • デジタル署名の正当性が検証されない
  • メールのプロパティが見れない

など。

もちろんメールアプリによって機能は違うのですが。
せめて電子署名の検証機能はあると嬉しいところ・・・

メールをもらったよ(詐欺)

後日談ですが、久々に詐欺メールを受信しました。
内容は、ほぼここに書いたようなベタなもので
送信元は楽天とかYahoo-Japanとか(アドレスも「本物」)、メールの重要度は「高」、
本日限りで以下のURLから何パーセントOFFの素敵な何かを手に入れよう
という内容です。

少し意外だったのが、こういうベタな迷惑メールでも
メールソフト(メールアプリ)やウィルス対策ソフトが無反応であったことです。
URLクリックしたら警告してくれるかもしれませんが、怖いから試していません。

では、どうやって私が「偽物」と断言しているかと言いますと、
メールのプロパティを見ると、SPFが失敗(soft-fail)、DKIM認証は無し、
送信元の「IPアドレス(メールアドレスでは無い)」を逆引きしてみたら某国(日本では無い)だったからです。
この辺りは、ITとかに詳しくない、普通にメールを使う人には難しいですよね。

やっぱり送信元の詐称って、メールでも葉書でも宅配でも何にしても厄介なもので、
もう少し内容ひねれば、わりと騙せるんじゃないか?と思ったのですが、
既に騙される人が居るから、世界中にバラまいているんでしょうね...
(だから自動翻訳(微妙な日本語)だし、私宛にも同じ文面で何通も来ました)

レッツ、ファーミング

ファーミングは、多くはWebブラウザでアクセスするところから始まると思うのですが

クリックで拡大表示

本物のURLで、本物そっくりの画面が表示されるので

  • 入力を求められる内容に違和感を感じたら中止する
    (そもそも何を、どんな流れで入力するルールなのか、覚えていることが前提)
  • 鍵マーク、サイトの情報などをクリックして、その内容に違和感が無いか調べる

・・・う~ん、
ただ、
ファーミングは、フィッシングと違って
既に敵の罠にハマっている状態、事後状態と言えます。

具体例としては

  1. hostsファイルが書き換えられている
  2. 偽のDNSサーバを参照するように書き換えられている
  3. 本物のDNSサーバを参照しているが、本物のサーバが攻撃を受けている

で、
前述の1、2の場合は、お使いのPCやスマートフォンは既に攻撃を受けているわけで、
ウィルス・マルウェア感染等を疑う必要があります。
だからファーミング「対策」って紹介されていないんじゃないかな。
(ウィルス対策やサーバ管理対策の範疇だし、すでに手遅れ?だし)


あと、残念なお知らせですが、
Webブラウザの機能
「パスワードを覚えさせる」や「自動でログインする」を使っている場合は
(上の画像の例のように、自動的にIDとパスワードが入力されている場合は)
自動でID・パスワードが偽サイトに流れて行ってしまいます。

ウィルス感染した時点で手遅れ、と割り切って自動ログイン機能を使うのも
それはそれで1つの自己判断だとは思いますが。

まとめ

上記の例はメールとWebブラウザですが、
他にもLineとか、Twitterとか、便利でメジャーなものは何でも釣り針になり得るので、
簡単に釣り上げられないように気を付けたいところです。

あとは、つきなみですが、こまめにアップデート。
ソフトウェアは最新にして脆弱性を極力無くす。*7

・・・こういうの書いていると、書いてる本人も不安になってきますね。
まぁ、実際そうなんだから仕方ないですけどね [worried]


*1 メール管理者側で対策するならばSPFやDKIM、ユーザ個々でできる対策は電子署名などがあります。
*2 添付ファイルやWebビーコンはフィッシングの範疇では無いかもしれませんが、ついでに書いてしまいます。もし私がやるなら全部仕込むからです。
*3 Right to Left Override。Windowsだとファイル名で「名前の変更」-「Unicode制御文字の挿入」-「RLO」で右読みに変更可能。昔の日本語やアラビア語などの右読み言語を処理するときに便利な機能。
*4 「ファイル名を右読みに変えることができます。」
*5 HTML形式の場合。テキスト形式ならば見た目どおりのURLですが、パッと見ではどちらの形式か分からない事がありますよね。
*6 例としては、サイバー法人台帳ROBINSから正式なURLを検索できる場合もあるんですが、いまいち登録っぷりが中途半端な会社が多い印象が・・・活用すればいいのに、なんでだろう?
*7 改めて、なぜ最新版にこだわるかというと、脆弱性の内容によっては何でも(盗んだり壊したり)できるからです。ネットワークに繋いだだけ、Webサイトを見ただけで被害に・・・という手口に使われたりします。

  最終更新のRSS