米シマンテックは2008年1月22日(米国時間)、ブロードバンドルーターの設定を勝手に変更する悪質なメールが確認されたとして注意を呼びかけた。メールを開くだけでルーターのDNS設定が変更され、ある銀行のWebサイトにアクセスしようとすると、偽サイトへ誘導される恐れがある。その結果、個人情報などを盗まれる危険性がある。

 WebページやHTMLメールに悪質なHTMLとJavaScriptを仕込んで、それらを閲覧したユーザーのブロードバンドルーターの設定を変更する攻撃は「ドライブバイ・ファーミング(Drive-by Pharming)」と呼ばれる。

 この攻撃では、ブロードバンドルーターのDNS設定を変更し、攻撃者のDNSサーバーなどを参照させるようにする。これにより、ファーミング詐欺を可能にする。具体的には、ユーザーが本物のWebサイトのURLをWebブラウザーに入力しても、攻撃者が意図した偽サイトに誘導されてしまう。偽サイトの目的は個人情報の詐取。クレジットカード番号やパスワードなどを入力させて盗む。

 シマンテックでは、およそ1年前に、こういった攻撃が可能であることを公表。この攻撃手法を「ドライブバイ・ファーミング」と命名するとともに、注意を呼びかけていた。そして今回、ドライブバイ・ファーミングの実例が初めて確認された。

 今回確認されたドライブバイ・ファーミングはHTMLメールを使ったもの。メールは、グリーティングカード(e-Card)の通知メールに見せかけている。グリーティングカードサービスを提供するWebサイトをかたり、受信者あてにグリーティングカードが届いたとする。

 このメールにはある細工が施されている。HTMLメールに対応したメールソフトで表示させると、メールに仕込まれたコードが解釈されて、メールソフトからブロードバンドルーターへ設定変更のデータ(HTTP GETリクエスト)が送信される。それによって、ルーターのDNS設定が変更される。

 具体的には、メキシコのある有名銀行のWebサイトにアクセスしようとすると、その銀行サイトに見せかけた偽サイトに誘導されるように設定を変更。偽サイトでは個人情報の入力を要求する。

 メールに仕込まれた設定変更のデータは、メキシコでよく使われているルーターのモデルを狙ったものだという。これらから、今回の攻撃はメキシコのユーザーを狙ったものである可能性が高い。

 ドライブバイ・ファーミングの被害に遭わないための対策は、ブロードバンドルーターのパスワードを変更すること。ほとんどのルーターでは、設定変更にはパスワードが必要だが、ユーザーの多くは初期設定のパスワードを変更していない。初期設定のパスワードは広く知られているため、簡単に破られてしまう。

 このためシマンテックでは、設定変更を強く勧めている。ただし、ルーターの中には設定変更にパスワード入力を必要としないものがあるので要注意としている。

 加えて、パスワードを変更する前には、ルーターの設定をリセットすることを勧めている。これは、DNS設定などを既に変更されている場合を想定した対処だ。

 いわゆる「セキュリティのセオリー」を守ることも対策として勧めている。具体的には、「信頼できないサイトにはアクセスしない」「信頼できる人からメールであっても、メール中のリンクをクリックする際には用心する」「覚えのないメールは削除する」「セキュリティ対策ソフトを利用する」ことなどを改めて推奨している。

 なお、今回の実例が確認されたドライブバイ・ファーミングは、同社が2008年1月21日に警告した攻撃とは別物(関連記事)。1月21日に警告した攻撃手法はFlashファイルを使ったもので、ドライブバイ・ファーミングの“発展形”。この手法を用いた実際の攻撃は、まだ確認されていない。