wiredに3月に載っていた詐欺の手口について今頃朝日新聞が取り上げていた。
フィッシング詐欺は、偽のウェブサイトをエサに不用心なインターネット・ユーザーを1人ずつ釣り上げ、個人データを盗み出す行為だ。ところが、最近新たに登場したサイバー詐欺――「ファーミング」――は、大勢のユーザーをまとめて刈り取ろうとしている[phishingがfishing(釣り)に基づいた造語であるのに対し、pharmingはfarming(農業、畑仕事)をもじった名称]。
朝日の記者(社員か外注か分からんが)は、十分に分からずに書いているんだろう。ファーミングについて何等有益な情報がない。自分のPCのホストを書き換えられないようにすることはできても、プロバイダーのDNSがクラックされたら終わりだろう。これからは、銀行やクレジットカード会社はIPアドレスを手打ちしてアクセスできるようIPアドレスを公開する必要があるのかもしれない。ユーザーにできるのは、前回にログインした時間を憶えておいてログイン時に確認することくらいしかできないだろう。
しかし、「だまされていることに気づきにくい。」という表現は甘い。注意深ければ大丈夫と勘違いしてしまいかねない。これの恐いところは、メールで送られてきたようなURLではなく、自分のローカルに置いておいたブックマークやショートカットをクリックしても詐欺サイトに導かれてしまう点だ。
こんなものを画面を見ただけで見破れるのは、「恋におちたら~僕の成功の秘密~」に出てくる、こんな天才(from にぽたん研究所)しかいないだろう。
asahi.com: 新手ネット詐欺ファーミング、米で増加 偽装サイト誘導 社会
2005年05月19日03時06分日本でも被害の出ているフィッシング詐欺が集中する米国で、巧妙な新手の手口が見られるようになった。インターネットで利用者が金融機関などのアドレスを正しく入力しても、偽装サイトに誘導される「ファーミング(pharming)」と呼ばれる手口で、ネットセキュリティー会社などが警戒を呼びかけている。
ファーミングは、IPアドレスとドメイン名を正しく対応させるための端末の設定ファイルをウイルスを使って書き換えたり、住所録に相当するサーバーに間違った情報を書き込んだりすることで、利用者を偽のサイトに誘導する。利用者の端末には正しいドメイン名が表示されているため、だまされていることに気づきにくい。
一般にフィッシングは金融機関などを装ったメールの「えさ」を個人に送りつけ、えさに食いつく利用者を偽サイトに誘導して個人情報を聞き出す。これに対しファーミングでは、正しいサイトに接続したと信じる分、利用者の警戒心が薄いと考えられ、犯罪者側からすれば個人情報をより容易に収穫できる。
フィッシング被害をまとめ、警戒を呼びかける「アンチ・フィッシング・ワーキング・グループ」によると、3月に同グループに報告されたフィッシングの偽サイトは2670で、このうち3割以上が米国にあるという。日本は中国、韓国、ドイツ、カナダに次いで6番目に多い。
◇ ◇
警察庁によると、「フィッシング詐欺」の被害は、昨年12月に初めて確認された1件。全国の警察に相談窓口「フィッシング110番」を設けたところ、3月末までに「フィッシング詐欺ではないか」など138件の情報が寄せられた。新手とされる「ファーミング詐欺」に関しては、今のところ相談や被害はないという。フィッシング詐欺は、カード会社や銀行を装ってメールを送りつけ、巧みに作り上げた偽のサイトに接続させ、氏名やカード番号、パスワードなどを本人確認などと称して入力させ、盗み出す。この個人情報をもとにオンラインショッピングなどで商品を勝手に購入し、だまし取るというもの。
国内で確認された偽のサイトは、大手のクレジットカード会社やインターネット関連会社、機械メーカーなど十数種類あり、本物と見間違うほど巧妙に作り上げていた。
ただ、ISPのDNSがクラックされたことが原因でファーミング詐欺にあったら損害賠償ものだろう。ぶら下がっているユーザーはDNSが更新されていることなど確認することは一切できない。それ以前に、最近のネット接続設定ではDNSを入力する必要がないケースも多いので、多くのユーザーはDNSの存在すら知らないだろう。