「フィッシング」による被害が最近，話題になっている。よくあるのは電子メールで偽装したWebサイトに誘導し，ログオンIDやクレジット・カードの番号，パスワード――などの個人情報を入力するように仕向けるものだ。フィッシング行為にだまされると，あなたの銀行口座から別の口座へ無断でお金が振り込まれたり，あなたが契約しているサービスを無断で利用されたり，といった被害につながる可能性がある。

　米CoreStreetの「SpoofStick」や米Netcraftの「Anti-Phishing Toolbar」などのツールは，これを防ぐのに役立つ。どちらのツールも「Internet Explorer（IE）」用と「Mozilla Firefox」用のアドオンであり，あなたが訪問中のWebサイトが本物か否かを表示するものだ。

フィッシングと併用される新たな攻撃法
　最近，ハッカーたちはフィッシングを「ファーミング」と呼ばれる方法と組み合わせている。ファーミング攻撃は，攻撃者が攻撃目標のISP（インターネット・サービス・プロバイダ）や企業にある複数のサーバーのDNSレコードを変更したり，クライアントにある「hosts」ファイルやDNSの設定を変更したりする。こうした攻撃を防ぐには，DNSクエリーの結果が確実に信頼性できるものかの判断が必要となる。先の2つのツールは，ファーミングを防ぐには，あまり役立たない。

　ファーミング攻撃を防ぐのに役立つ方法が3つある。最初の方法は，米MarkMonitorが最近発表したもので，企業のDNSサーバーが不正に変更されないよう監視するサービスを企業が利用することだ。不正な変更が検知されると，MarkMonitorはその会社に対して警告を発する。

　第2の方法は，これも新しいものだが，米Next Generation Security （NGSEC）の「AntiPharming」を使うことである。このツールは，サーバー・レベルではなくクライアント・レベルで動作し，システムの「hosts」ファイルとローカルのDNS設定に不正な変更が加えられるのを防ぐ。さらに，それはシステムのネットワーク・インターフェースを監視してDNSクエリーの応答を捕そくし「3つの安全なDNSサーバー」を参照して，その応答をダブル・チェックする。このツールはあらかじめ3つのDNSサーバーの設定をした後で提供されており，それらのサーバーのアドレスを，あなたがより適切だと思うサーバーのアドレスに変更できる。このツールは，個人利用には無償で提供されている。

ファーミングを防ぐWebサイト側での対策
　第3の方法は，Green Armor Solutionsが提供する「Identity Cues」で，Webサイト・レベルで動作するソリューションだ。Identity Cuesに守られたWebサイトに最初にユーザーがログオンしたときに，色づけされた「ビジュアル・キュー」と呼ばれるものを生成する。2回目以降に，ユーザーがそのサイトへログオンするたびにビジュアル・キューが表示される。偽装したWebサイトは，このキューを生成できないので，偽のサイトに誘導されたユーザーは，そのサイトが正しくないことがすぐに分かる。このIdentity Cuesのコンセプトは，斬新だ。

　3つのアプローチはすべてよいアイデアのようだし，フィッシングとファーミングを阻止するのに大いに役立つだろう。ほかにファーミングを防ぐ手立てがあるかとも思うが，現時点では他のソリューションを私は知らない。もし何かご存知だったら，教えてほしい。