« 人命は尊いと言うけれど | Main | やっぱり人命は軽いのか »

February 18, 2005

ホストファイルフィッシング

hostsファイルを上書きする究極のフィッシング詐欺「ホストファイルフィッシング」があるそうです。

OSのhostsファイルを書き換えてしまう新手のフィッシング詐欺に注意(Internet Watch)

Webサイトを表示する手順は、

1.URLリンクをクリック。 (もしくは、アドレスバーに直接URLを入力。)
2.DNS問い合わせ。
3.ドメイン名をIPアドレスに変換。
4.目的のWebサーバにアクセス。
5.Webページを表示。

ざっくり書くと、こんな順番になります。 OSやブラウザ,ルータ機器,ネットの向こう側で裏方さん達は働いてます。

ところが、

hostsファイルが不正に書き換えられてしまった場合、上記の「2.DNS問い合わせ」の処理が行われず、hostsファイルに記述されているIPアドレスが優先的に使用されるのです。

誤解のないよう補足すると、hostsファイルに該当ドメインがなければDNSに問い合わせます。 hostsファイルはネットワーク設定のためのシステムファイルなのです。

このhostsファイルが優先されることを利用して、小規模LAN等わざわざDNSサーバを用意するまでもない場合などにhostsファイルを使ってアドレス変換したり、Real Playerなどスパイウェアの疑いのあるソフトを使用する際にダミーのIPアドレスをhostsファイルに記述しておくことでパソコンの内部情報がReal Networks社に流出するのを防ぐことができます。 他には、頻繁にアクセスするサイトで固定IPアドレスが分かっていてDNS問い合わせするホンの少しの時間さえ待てないからhostsファイルに記述してスピードUPを図るという裏技もあります。(体感速度はあんまり変わらないと思うけど。)

なので、少し書き足すと、2番の処理は、

2.hostsファイル検索後、該当するドメインがなければDNS問い合わせ。

となります。

ホストファイル・フィッシング詐欺は、hostsファイルが優先されることを悪用し、フィッシング用のニセWebサイトにアクセスさせて個人情報を引き出そうとする巧妙な詐欺行為なのです。

例えば、ほげほげ銀行のWebサーバのIPアドレスが正しくは111.111.111.111だったとして、hostsファイルに

222.222.222.222 hogehoge.bank.co.jp

と、ニセのIPアドレスが書かれていたら、ほげほげ銀行にログインしたつもりで実はフィッシング詐欺サイトだった!ということが起こり得ます。

本来ならDNSから取得するハズの正規のIPアドレスではなく、hostsファイル内のニセのIPアドレスが使用され、しかもブラウザのアドレスバーに表示されるURLは正しいドメイン名(hogehoge.bank.co.jp)なので、利用者は不正に気がつかないというワケです。 恐いですね。

対処法としては、

A.定期的にhostsファイルをチェックし、自分で書いた覚えのないIPアドレス(ドメイン名)は削除する。(*1)

B.Microsoft OutlookやInternet Explorerなど、外部からのhostsファイル書き換えを許してしまうようなセキュリティの甘いアプリケーションは使わない。

C.Tripwireを使ってファイルの改ざんを検知する。(でも、Windows版のTripwireはないよね?)

などが挙げられます。

ウィルス感染によるhostsファイルの上書きもじゅうぶん考えられますので、ウィルス対策は必須です。 この問題に限らず、アンチウィルスソフトの導入はすべてのPCに必要です。

また、既存のフィッシング詐欺への対処法は、国家破綻研究ページさんに詳しく載ってます。

(*1)
【hostsファイルの場所】
hostsファイルは、Windows系の場合、C:\windows\system32\drivers\etc\hosts です。 ただし、PCによっては、C:\windowsでなく、C:\winntだったりしますし、D:ドライブだったりもします。(色々です。)
もし、「hosts」というファイルがなければ、それはそれで構いません。 ないなら無いで良いでしょう。

【hostsファイルの内容について】
#で始まる行はコメント行なので無視されます。
127.0.0.1 localhost
この行↑は、自ノードを現すローカルアドレスですので、問題ありません。 削除せず、そのままで大丈夫です。 (というか、この行は消さずに残しておくべきです。)

【hostsファイルについての注意 「重要」】
職場環境によっては、ネットワーク管理者によりhostsファイルが任意に設定されているPCもありますので、身に覚えがないからという理由だけで勝手に書き換えると後で不具合の出る可能性があります。(例:社内サーバにアクセスできなくなった。メール送受信できない。etc.) 不審に思ったら、社内のネット管理者に問い合わせてください。 ってこう書くと、ネット管理者に余計な仕事が増えることになるかもしれないので少し気が引けます。(汗)

関連記事「フィッシング詐欺

|

« 人命は尊いと言うけれど | Main | やっぱり人命は軽いのか »

Comments

うぉーIEやOEってhostsファイル書き替えちゃうんですね。知らなかった・・・これは、やばいですね。もう、IE立ち上げられません(汗)
FirefoxとBeckyのみで生きていきます。

Posted by: A-tak | February 21, 2005 at 12:38 PM

A-takさん

FirefoxとBecky、賢明な組み合わせかと存じます。

Outlook(Express)やInternet Explorer(IE)って、最初から無料で用意されてて何の疑問も持たず無防備に使っているけど、実は脆いアプリだということを知って欲しい。

特にIEはOSのカーネルに直結している(っていうか、カーネルそのものなんぢゃ?と疑念を抱いてる)ので気軽に使うのは抵抗を感じます。 レンダリングも遅いし。(笑)

と言いつつも、現ブラウザはIEなので私もMozilla Firefoxに乗り換えようかな。 Sleipnirという選択肢もあったけど……

Sleipnir、開発停止か? 開発者盗難に遭う
http://netafull.net/archives/006178.html

と、大変なコトになっていたようですが、開発は再開したのかな?

ちなみに、メーラーは鶴亀を使ってます。 コメントどうもでした。 でわでわ。

Posted by: TAKO | February 22, 2005 at 04:39 AM

TBありがとうございます。
書き換えられてしまうと、自力で確認するまで気が付かないですね。要注意と思います。

Posted by: kanconsulting | February 23, 2005 at 12:59 PM

kanconsultingさん

ホストファイルフィッシングは、騙されたことに気づきにくいのが恐いですね。 やはり、IEやOEを使わないようにするのが最善の防護策と思います。

便利さと共に危険が潜むネット社会。 今後も新たなサービスとほぼ同時に、それに乗っかった詐欺が出てくることでしょう。

コメントありがとうございました。 でわでわ。

Posted by: TAKO | February 24, 2005 at 03:05 AM

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/48425/2978517

Listed below are links to weblogs that reference ホストファイルフィッシング:

« 人命は尊いと言うけれど | Main | やっぱり人命は軽いのか »