ファーミング（Pharming）とは、ドメインと紐づけられたIPアドレスを不正に書き換えることで、ユーザーを偽のWebサイトへ誘導する手法である。ユーザーが普段と変わらない手順でWebサイトへアクセスしたにも関わらず、本物を精巧に偽装したWebサイトへ転送されてしまう。その際に表示されている、ユーザーのWebブラウザー上のURLは正規と同じものが表示されているため、偽サイトだと判別するのが非常に難しい。

偽サイトではIDやパスワード、クレジットカード等の情報入力が求められる。この要求に応じて情報を入力してしまうと、入力した情報が攻撃者に窃取されるという仕組みだ。フィッシング詐欺の一種でもあるが、通常のフィッシング詐欺はメール等による偽装URLの拡散という手法をとる。一方、ファーミング攻撃はドメイン名とIPアドレスの紐づけ（名前解決）を不正操作することにより、ユーザーに正規のURLを表示して偽サイトへ誘導し、犯行につなげる。

ファーミングでは主に、「hostsファイル」や「DNSキャッシュ」が改ざんされるが、最近では「プロキシ自動設定（PAC）」を悪用するケースもある。hostsファイルはユーザーのパソコン内にあるテキストファイルで、DNSの前に優先して参照される情報だ。攻撃者はエクスプロイトキットなど何らかのマルウェアにユーザーを感染させ、このファイルを改ざんする。そこには攻撃用サーバーのIPアドレスが記述され、ユーザーが正規のURLへアクセスすると、偽の攻撃用ページが表示される。

DNSキャッシュを改ざんする手法は「DNSキャッシュポイズニング」とも呼ばれる。ポイズニングとは「汚染」という意味だ。DNSサーバーはレスポンスを高めるためにリクエスト内容をキャッシュとして一時的に保存している。DNSキャッシュポイズニングはDNSサーバーに不正なリクエストを送信し、キャッシュを偽のものに書き換えることでファーミングを実行する。多くのユーザーがアクセスするようなDNSサーバーが感染してしまった場合、その被害は甚大になる。

ファーミングによる被害を防ぐために

ファーミングではWebブラウザーに正規のURLが表示される上に、見た目も酷似した偽サイトに誘導されてしまうため、ユーザーは攻撃を見極めるのが難しい。しかし、ファーミングで誘導される偽サイトの多くは暗号化されていない。そのため、通信プロトコルがHTTPSになっているかどうか、Webブラウザーのアドレスバーに鍵マークがあるかをチェックするという方法がある。

最近では、信頼できるWebサイトは基本的に常時SSLで接続しており、ましてや個人情報などを入力するWebページで、暗号化していないサイトは皆無だからだ。鍵マークをクリックし、SSL証明書の内容を見れば、アクセスしているドメインも確認できる。ただし、SSL接続をしているWebサイトでも、ファーミングの被害を受ける可能性は否定できない。セキュリティソフトのWebアクセス保護機能を有効にしておくことで、こうしたファーミングのリスクからも回避できる可能性が高まる。