ルータのDNS設定を狙う新たなファーミング攻撃発見――Symantec

[ITmedia]

　ユーザーが悪質なWebサイトを閲覧しただけでルータのDNSサーバ設定が変えられ、偽サイトに誘導されてしまうという新手の攻撃手法「Drive-By Pharming」について、米Symantecが2月15日、ブログで情報を公開して注意を呼び掛けた。

　この攻撃手法は、Symantecと米インディアナ大学の研究者が共同で発見した。ユーザーのWeb閲覧経路を攻撃者が完全に制御して、ブラウザにどんなアドレスを入力しても攻撃者のサイトにつながる状態にしてしまうことが可能だという。影響は深刻だが、防ぐのも簡単だとSymantecは解説している。

　この手法は、DNS情報を書き換えるといった手段でユーザーを偽サイトに導く「ファーミング」と呼ばれる攻撃の一種だ。Symantecによると、この攻撃では悪質なJavaScriptを仕掛けたWebページをユーザーが閲覧すると、クロスサイトリクエストフォージェリ（CSRF）という手口を使って悪質なコードがブラウザで実行され、ブロードバンドルータや無線アクセスポイントにログインされてしまう。

　多くのユーザーは、ルータのパスワードはデフォルトのまま変更していない。もしログインされるとJavaScriptによってルータの設定が変えられて、攻撃者が指定したDNSサーバをユーザーに利用させることが可能になる。

　この状態で、例えば銀行サイトの「www.my-bank.com」という正規アドレスをブラウザに入力すると、攻撃者のDNSサーバを経由して偽のIPアドレスにつながり、ユーザーが正規サイトだと信じて入力した銀行口座情報などが盗まれる恐れがある。

　攻撃を防ぐ方法としてSymantecは、自宅のワイヤレスルータでデフォルトのパスワードを変更しておくようアドバイス。また、信頼できないWebサイトには近寄らないこと、電子メールに記載されているリンクは、たとえそのメールが知人から来たものであっても盲目的にクリックしないことを挙げている。