欧米を中心に流布する新手の攻撃“ドライブバイ・ファーミング” VASCOの二要素認証ソリューションが被害回避に絶大な効力を発揮

　インターネット認証ソリューションの株式会社 VASCO Data Security Japan (バスコ・データ・セキュリティ・ジャパン、東京都千代田区、本社 米国イリノイ州、NASDAQ VDSI、以下 VASCO) は、ここ数カ月にわたって欧米を中心に広がっている新手のネットワーク攻撃である“ドライブバイ・ファーミング”による被害に対して、VASCOの二要素認証ソリューションDIGIPASSが非常に高い防御効果を発揮していることをお知らせいたします。


●ドライブバイ・ファーミング: エンドユーザに対するネットワーク攻撃

　ワイヤレスネットワークの進歩は通信テクノロジに大きな変革をもたらし、今日では時や場所を選ぶことなく、電子メール、インターネット、個人情報、ネットワークリソースへのアクセスが可能になっています。設定の容易さ、利便性や可動性、ノート型パソコンの人気などを背景にワイヤレスネットワークの需要は拡大の一途をたどっており、企業ユーザのみならずホームユーザにも普及が進んでいます。家庭でのワイヤレスネットワークの利用が増加すると、必然的にブロードバンドルータの利用も増加します。ユーザは、ルータを使って複数台のコンピュータやゲーム機を接続したホームネットワークを構築し、インターネットを利用します。


●ワイヤレスルータを標的としたドライブバイ・ファーミング攻撃

　近年、ホームユーザのワイヤレスルータの設定を書き換える「ドライブバイ・ファーミング」と呼ばれる攻撃が、新たな脅威として登場しています。悪意のあるハッカーが、ルータの DNS (Domain Name System: ウェブサイトのドメイン名と IP アドレスを対応付けるシステム) を書き換えて設定をコントロールし、ユーザを正常なブラウザのリンクから偽サイトに誘導して、マルウェア感染や個人情報の漏えいを引き起こすのです。ドライブバイ・ファーミングでは、ユーザは不正な ウェブ サイトにリダイレクトされたり、悪意のある JavaScript を含む電子メールを受信したりすることにより被害を受けます。ハッカーは不正なコードを使ってユーザのルータにログインし、ハッカーが制御する DNS サーバを参照するように設定を書き換えます。このようなタイプの攻撃では、ユーザは不正なソフトウェアのダウンロードをしていなくても、JavaScript コードを含む ウェブページや電子メールを開いただけで被害にあってしまいます。

　2008 年 1 月、ラテンアメリカの大手インターネットサービスプロバイダが提供するルータがこのドライブバイ・ファーミングの標的となり、大きな被害が発生しました。攻撃の手口には、実在する ウェブサイト www.gusanito.com からグリーティングカードが届いたという内容の電子メールが使用されました。その電子メールには、メキシコの最大手銀行のバンキングサイトを偽の ウェブ サイトにリダイレクトするようにルータの DNS 設定を書き換える悪質なコードが埋め込まれていました。そのため、メールを受信した後、同じコンピュータを使用してオンラインサービスにアクセスしようとしたユーザはすべて偽サイトに誘導され、機密データを盗まれるという被害が発生したのです。


●デフォルトのルータ設定を変更するのみでは対策として不十分

ホームユーザ向けのルータは、ほとんどの場合、デフォルトの設定を変更しなくてもそのまま動作するため、ルータの管理用パスワードもしばしばデフォルトのまま使用されます。そのような場合、ハッカーはデフォルトのパスワードを容易に推測できるため、これがドライブバイ・ファーミングを引き起こす原因であるとも言われます。しかし、デフォルトのパスワードを変更しても攻撃を完全に予防することはできません。ほとんどのルータには不正防止のためのログイン試行回数制限が設けられていないため、頻繁にパスワード変更を行ったとしても、それはハッカーの辞書攻撃によって簡単に見破られてしまいます。また、多くのユーザがビジネスなどの目的で、ショッピングモール、図書館、空港などの自宅外の施設でも無線 LAN を利用するようになっているため、さまざまな環境に対応できるセキュリティ対策が必要になっています。


●強力な 二要素認証によりアクセスを保護

　ブロードバンドルータへの攻撃を発見するのはしばしば困難であり、また、見た目や操作感が同じで URL まで同一の偽サイトを見破ることができるエンドユーザはほとんどいないでしょう。では、こうした状況で、個人情報、クレジットカード情報、ユーザ名やパスワードなどの機密データの盗難を防ぐにはどのような措置をとればよいでしょうか。
　それは、強力な認証方式で機密データを保護することです。メキシコの銀行で起きた個人情報の盗難を始めとするドライブバイ・ファーミングの被害も、これにより回避できます。
認証によって、送信者の身元を電子的に検証することにより、偽装などの悪意のある行為を効率的に特定できます。
　VASCO の DIGIPASS (デジパス) は、「あなたが持っているもの」(DIGIPASS) と｢あなたが知っていること｣(暗証番号またはパスワード) の 2 つの要素を使って認証を行います。2 つの異なる要素を使用することにより、非常に強力な認証が実現します。
　DIGIPASS では、ワンタイムパスワードと電子署名という 2 つの機能を利用できます。ワンタイムパスワードは、使用するたびに変更される強力な動的パスワードで、ペットの名前などを使用する従来の固定パスワードに代わるものです。動的パスワードとは、一定時間で無効になる使い切りのパスワードのことで、デフォルトでは 32 秒ごとに変更されるため、ユーザは同じパスワードを繰り返し使い続けることはできません。このため、ユーザ名とパスワードの組み合わせを大量に生成する不正なログイン試行を防御できます。
　一方、電子署名は、トランザクションレベルで機密データを不正なアクセスから保護します。トランザクションに対して電子署名を適用すると、その後、内容を変更することはできません。もしトランザクションデータが書き換えられたとしても、その場合は電子署名が無効になります。
ワンタイムパスワードと電子署名を備えた DIGIPASS は、ドライブバイ・ファーミングの脅威に対する強力なソリューションです。

VASCO および DIGIPASS の詳細情報については、www.vasco.com をご覧ください。