ファーミングとは？ わかりやすく10分で解説

ファーミングは、ユーザーが正しいURLを入力したにもかかわらず、攻撃者が用意した偽サイトへ誘導される攻撃です。偽メールや偽リンクをクリックさせるフィッシングとは異なり、DNS情報や端末設定など、ユーザーから見えにくい部分の改ざんによって成立します。

被害を防ぐには、ユーザー側の注意だけでは足りません。端末のマルウェア対策、DNSの保護、証明書エラーの確認、多要素認証、組織側の通信監視を組み合わせて、偽サイトへ誘導されても認証情報を悪用されにくい状態にする必要があります。

ファーミングとは何か

ファーミングの基本的な定義

ファーミングとは、正規サイトへアクセスしようとするユーザーを、攻撃者が管理する偽サイトへ誘導するサイバー攻撃です。ユーザーがURLを正しく入力していても、名前解決や端末設定が改ざんされていると、偽サイトへ接続される場合があります。

攻撃者は、DNSサーバー、端末のhostsファイル、ルーターのDNS設定などを改ざんし、正規ドメイン名に対して偽のIPアドレスを返す状態を作ります。ユーザーの画面上では通常のアクセスに見えるため、メール文面やリンクの不自然さから気づくタイプの攻撃より発見が遅れやすくなります。

フィッシングとの違い

フィッシング詐欺は、偽メール、SMS、偽広告、偽ログイン画面などを使って、ユーザーをだまして認証情報を入力させる攻撃です。多くの場合、ユーザーが偽リンクをクリックする行動が起点になります。

ファーミングは、ユーザーのクリック行動よりも通信経路や名前解決の改ざんに依存します。正規URLを手入力した場合や、ブックマークからアクセスした場合でも、DNS情報や端末設定が改ざんされていれば偽サイトへ誘導される可能性があります。

攻撃者が狙う情報

ファーミング攻撃で狙われやすい情報は、ログインID、パスワード、クレジットカード番号、ネットバンキングの認証情報、メールアカウント、業務システムの認証情報です。これらが窃取されると、不正送金、不正購入、アカウント乗っ取り、なりすまし、追加攻撃の踏み台化につながります。

企業では、従業員の認証情報が盗まれることで、業務システムやクラウドサービスへの不正ログイン、取引先を巻き込む攻撃、情報漏えいにつながる場合があります。個人被害だけでなく、組織の信頼や取引継続にも影響します。

ファーミング攻撃の主な手口

DNSキャッシュポイズニング

DNSキャッシュポイズニングは、DNSサーバーが保持するドメイン名とIPアドレスの対応情報を不正に書き換える攻撃です。正規のドメイン名を問い合わせたユーザーに対して、攻撃者のサーバーのIPアドレスを返すことで、偽サイトへ誘導します。

DNSサーバー側のキャッシュが汚染されると、そのDNSサーバーを利用する複数のユーザーが影響を受けます。個々の端末だけでなく、組織やプロバイダー側のDNS運用が被害範囲を左右します。

端末のhostsファイルやDNS設定の改ざん

攻撃者は、トロイの木馬などのマルウェアを使って、端末内のhostsファイルやDNS設定を書き換える場合があります。この場合、同じ端末であれば、どのブラウザを使っても特定のドメインが偽サイトへ解決される可能性があります。

端末側の改ざんは、ユーザー本人が異常に気づきにくい点が問題です。ブラウザのアドレスバーには正規のドメイン名が表示されることがあるため、URLの目視確認だけでは判別できない場合があります。

家庭用ルーターやネットワーク機器の設定改ざん

家庭用ルーターや小規模オフィスのネットワーク機器が侵害され、DNSサーバーの参照先を攻撃者の管理するサーバーに変更される場合もあります。この場合、同じネットワークに接続している複数の端末が影響を受けます。

初期パスワードのまま使っている機器、管理画面をインターネット側に公開している機器、古いファームウェアのまま使われている機器は、設定改ざんの対象になりやすくなります。

リダイレクトとの違い

リダイレクトは、本来はページ移転やURL正規化のために使われる正当な仕組みです。ファーミングでは、正規サイト側のリダイレクトではなく、名前解決や端末設定の改ざんによって、ユーザーが意図しない接続先へ誘導されます。

正規サイトの運用者が設定したリダイレクトか、攻撃者が通信経路や名前解決を操作している状態かを分けて確認する必要があります。ブラウザの履歴やアドレスバーだけでは原因を特定できない場合があります。

ファーミング攻撃がもたらす影響

個人ユーザーへの影響

個人ユーザーでは、ネットバンキング、ECサイト、メール、SNSなどの認証情報が盗まれる被害が想定されます。盗まれた情報は、不正送金、不正購入、アカウント乗っ取り、スパム送信、別サービスへの不正ログインに使われる場合があります。

同じパスワードを複数サービスで使い回していると、1つの偽サイトで入力した情報が他のサービスにも悪用されます。このため、パスワード管理と多要素認証は、ファーミング被害後の拡大を抑えるうえでも有効です。

企業への影響

企業では、従業員の認証情報が盗まれることで、業務システム、メール、クラウドサービス、VPNなどへの不正アクセスにつながります。攻撃者が社内システムへ入ると、情報窃取、なりすましメール、取引先への攻撃、ランサムウェア侵入の起点になる場合があります。

被害発生後には、原因調査、アカウント停止、パスワード再設定、顧客対応、取引先への説明、監督官庁や関係者への報告などが必要になります。金銭被害だけでなく、対応工数と信用低下も無視できません。

金融機関・サービス提供事業者への影響

金融機関やサービス提供事業者は、利用者が正規サイトを利用していた認識のまま被害に遭う点に対応しなければなりません。不正取引の調査、補償判断、問い合わせ対応、偽サイトの停止依頼、注意喚起など、複数の部門に負荷がかかります。

ファーミング被害が繰り返されると、サービス自体の信頼にも影響します。利用者が「正しいURLでも安全とは限らない」と認識すると、オンライン手続きや電子商取引の利用をためらう要因になります。

ファーミング攻撃への対策

個人ユーザーが確認すべきこと

個人ユーザーは、OSとブラウザを更新し、セキュリティ対策製品を利用し、ブラウザの証明書警告を無視しないことが基本になります。正規URLを入力している場合でも、証明書エラー、画面表示の違和感、ログイン後の挙動の異常があれば、入力を中断します。

パスワードの使い回しを避け、重要なサービスでは多要素認証を設定します。認証情報が偽サイトに入力された場合でも、追加要素があれば不正ログインを防げる可能性が高まります。

端末側のマルウェア対策

端末では、マルウェア感染を防ぐことが重要です。不審な添付ファイルや実行ファイルを開かない、正規サイト以外からソフトウェアを入手しない、OSやアプリケーションの更新を継続する、セキュリティ対策製品で不正な設定変更を検知する、といった運用が必要です。

hostsファイルやDNS設定が意図せず変更されていないかを確認する手順も、インシデント対応時には有効です。特定の端末だけで異常が起きる場合は、端末側の設定改ざんを疑います。

組織のDNS運用とネットワーク監視

組織では、信頼できるDNSサービスを利用し、DNSログや通信先の異常を監視します。DNSSECに対応できる範囲では、DNS応答の正当性を検証する設計も検討対象になります。社内ネットワークから不審なDNSサーバーへ問い合わせていないかを確認することも有効です。

ネットワーク機器では、管理画面の公開範囲、管理者パスワード、ファームウェア更新、不要なリモート管理機能を確認します。小規模拠点や在宅勤務環境では、家庭用ルーターが弱点になる場合があります。

セキュアブラウザや端末制御の活用

セキュアブラウザは、アクセス先制御、キャッシュ制御、コピーやダウンロードの制御、不正サイトへの接続抑止などの機能を通じて、Web利用時のリスクを下げる選択肢になります。特に業務用Webシステムやクラウドサービスへのアクセスを管理したい場合に検討しやすい方式です。

ただし、セキュアブラウザだけでファーミングを完全に防げるわけではありません。DNS運用、端末保護、認証強化、ログ監視と組み合わせて、偽サイトへの誘導、認証情報の入力、入力後の悪用を段階ごとに抑える設計が必要です。

ファーミングを疑うべき兆候

正規URLなのに画面表示がいつもと違う

正規URLを入力しているのにログイン画面のデザイン、文言、証明書情報、表示速度、ログイン後の遷移が通常と異なる場合は、入力を止めて確認します。特に、普段は表示されない追加認証情報やカード情報の入力を求められる場合は注意が必要です。

証明書エラーや警告が表示される

ブラウザが証明書エラーを表示する場合、通信先が正規サイトではない、証明書が失効している、通信が改ざんされているなどの可能性があります。業務上必要なサイトであっても、警告を無視してログイン情報を入力しない判断が必要です。

同じネットワーク内の複数端末で異常が起きる

複数端末で同じサイトへの接続に異常が出る場合、端末単体ではなく、DNSサーバー、ルーター、ネットワーク機器、プロキシなどの設定を確認します。特定端末だけで起きる場合は、hostsファイル、DNS設定、マルウェア感染を優先して調査します。

まとめ

ファーミングは、正しいURLにアクセスしているつもりのユーザーを偽サイトへ誘導する攻撃です。フィッシングのように偽リンクをクリックさせるだけでなく、DNS情報、端末設定、ルーター設定などの改ざんによって成立するため、ユーザーの注意だけでは防ぎきれません。

対策は、端末、認証、DNS、ネットワーク監視を分けて考えます。端末ではマルウェア感染と設定改ざんを防ぎ、認証では多要素認証とパスワード使い回しの排除で悪用を抑え、DNSとネットワークでは不審な名前解決や通信先を監視します。

企業では、ファーミングを単独のWeb脅威として扱うのではなく、認証情報窃取から不正アクセス、情報漏えい、取引先への攻撃へつながるリスクとして管理します。被害をゼロにする前提ではなく、誘導、入力、悪用、拡大の各段階で止める設計が現実的です。