CNC、偽サイト判定ができる「フィッシング詐欺防止システム」を無償配布 (Japan.internet.com)
株式会社クローバー・ネットワーク・コム
仕組みとしては、正式なアドレス(ドメイン名)とIPアドレスを登録したホワイトリスト、偽HPのアドレスとIPアドレスを登録したブラックリストの組み合わせがある認証センターとPCにインストールするソフトによって実現されています。(ドメイン名とはグーグルならwww.google.co.jpまでです)
ファーミング詐欺については自動検知して警告を表示するそうです。DNSサーバー汚染やhostsファイル書き換えをチェックして警告を発生するそうです。DNSサーバーやhostsファイルというのは、URLアドレスをIPアドレスに変換する仕組みです。DNSサーバーはネットワーク上に、hostsファイルはPC内にあります。hostsファイルを書き換えると、Yahoo!を見に行ったつもりでGoogleを見ているという状態を作り出せます。
また自動アップデート機能があり最新状態を保てるという仕組みになっており、今後、メールのチェック機能も付くそうです。
インストールしてみました。
インストール時に特に設定はなく、タスクトレイに出てくるアイコンの右クリックでプロキシ設定が可能な事ぐらいです。タスクトレイのアイコンを右クリックしてDoc Wall for Webにチェックが付いている事を確認。また、どうやらIEを対象にしているようです。インストール後、IEのメニューで表示→ツールバー→Doc Wall for Webでツールバー表示して、ブラウザの再起動を行えばOKのようです。一応、私は念のためにPC再起動までしてみました。
見た目は、極太なツールバーが追加されています。そこに大きく「未登録のサイトです」「認証済みのサイトにアクセスしています」というメッセージが出るようです。
認証済みと出たサイト
みずほ銀行
東京三菱銀行
三井住友銀行
UFJ銀行
りそな銀行
新生銀行
ジャパンネット銀行
イーバンク銀行
三井住友VISAカード
楽天
未登録と出たサイト
郵貯インターネットサービス
三井住友銀行One'sダイレクト
WebMoney
カブドットコム証券
野村證券
うーん、郵貯のオンラインバンキングはダメですし、三井住友銀行の実際のオンラインバンキングサイトのOne's ダイレクトも対象外・・・大丈夫でしょうか・・・。
DNSサーバーなどを作っていませんので、hostsファイルを書き換えて確認しました。書き換え方法は、最後の「続きを読む」に書いています。この書き換え中にソフトが警告は出しませんでした。ファイルの変更を見ているわけではなさそうです。
確認はYahoo!のサイトに訪れた人をGoogleに導くようにしました。
対策ソフトを実行前にYahoo!を訪れたシーンと、実行後に訪れたシーンを撮りました。
ソフト起動前
ソフト起動後アドレス欄をみると、どちらも「http://www.yahoo.com/」なのが判ります。うーん、見事にGoogleが表示されてしまいました。すいません、写真は色々と試している時にとったので、ツールバーが無い状態ですね。証拠としてはちょっと失敗です。
じゃぁ、今度はみずほ銀行に訪れた人をGoogleに導くようにしました。
みずほ銀行アドレスアドレス欄をみると、「http://www.mizuhobank.co.jp/」なのが判ります。認証済みサイトとなっていますが見ているのはGoogleですね。
これは変更後も認証されているサイトだから?と思い、その他の店などでも試しましたが特に違いはありませんでした。もしかしたら「ホワイトリストに載っているURLの場合、ブラックリストのサイトに移動しないかチェックする」という機能程度な気がしました。その場合、ブラックリストに未登録の出来たて詐欺サイトには無防備って事じゃないでしょうか?
また、念のためにフィッシング詐欺にあるような、HTMLメールで見えているURLアドレスと実際にリンクするURLを別にしたメールを作り、WebメールのHotmail・Gmail・YahooMail、メールソフトのOutlook Express・Thunderbirdで確認しました。下の写真は見た目のアドレスと実際のアドレスが違うのがステータスバーでわかります。
Thunderbirdで確認これで上記のメールをクリックして確認しましたが・・・全て警告無しに違うサイトにジャンプしました。
私はこのツールの有効性に不安を感じました。詐欺サイトは長期間存在する物ではありません。被害に気付いて通報して反映されるまでの時間を考えると、私としてはツールを導入する事により信用しすぎてしまうようでは、逆に怖いと感じました。
こういうツールを公開するのであれば、実際にどんな警告が出るかなどの例を表示してくれた方がいいですよね。サイトの1ページで簡単に紹介だけでお終いでは心許なかったです。hostsファイルに関しては、意見の一つに「スクリプトによる変更にのみ対応では?」とありましたが、詐欺の方法が多様化している現在、スクリプトだけでは不十分と感じました。
【追記】
星澤裕二メモさんのレポート「CNCのフィッシング対策ソフト「DocWall」を試してみた」と「CNCのフィッシング対策ソフト「DocWall」を試してみた(続き)」はオススメ。
DocWallの信用度は低いと思いアンインストールした後に見たので試す事が出来なかったのですが、星澤裕二さんによると自分のPC内にホワイトリスト・ブラックリストを持っているようで改竄可能みたいです。見事に認証済み(OKな相手)を認識できなくなったそうです。Doc Wallを狙い打ちで無効化するウイルスなどが出る可能性は少ないと思いますが、こんなに簡単に騙せるようでは安心して使えません・・・フリーだからって機能を削っているなら信用失いますよ!?
【追記】
「DocWallについての追記」にて、株式会社クローバー・ネットワーク・コム様からのコメントに対する私の疑問点。
ココからは、hostsファイルの書き換えについてです。
hostsファイルはWinXPの場合、「C:\WINDOWS\system32\drivers\etc\hosts」で、拡張子がないファイルです。拡張子がないために適当にメモ帳で開くと行頭に#があるのはコメントで、説明や無効化している内容です。また「127.0.0.1 localhost」は、消さないように!これは、この文字列はこのIPアドレスに変換してネットを見ますよという内容を書いています。
例えば、下のような1行を最後に付け加えます。
216.239.39.104 www.yahoo.co.jp
この場合、www.yahoo.co.jp というアドレスは、IPアドレス 216.239.39.104 としてネットに見に行きますという設定です。私が設定した時は、216.239.39.104は、www.google.co.jpとなりGoogleに繋がりましたが、どうやらIPアドレスは固定ではないようで暫くすると見れなくなりました。確認したい場合は、スタートメニュー→アクセサリ→コマンド プロンプトで、コマンド プロンプトを起動して「ping google.co.jp」と入力すると、IPアドレスが表示されます。上記の「216.239.39.104」と置き換えてhostsファイルに追加します。
この後、ブラウザを全て閉じてから「www.yahoo.co.jp」を見に行くと、GoogleのIPアドレスに変換されてGoogleを見に行ってしまいます。でも、ブラウザ上ではwww.yahoo.co.jpとして見ています。
本来は、LANにあるPCに別名で接続したい場合等に使います。例えば、あるマシンに「MYPC、DELLPC、WORKPC、AISENPC」等と複数の名前を付けてあげると、どの名前でもそのPCに接続することが出来ます。
これを悪用して、違うサイトに導いてIDやパスワードを盗むのがファーミング詐欺です。
木暮と申します。
この度は、弊社のDocWallをダウンロード
して頂き、又、貴重なご意見誠に
有難うございます。
今回リリースしたバージョンは、
弊社ホームページで表記されている通り
ファーミング詐欺対策を施した物では
ございません。
ファーミング詐欺対策を施した物に関しては、
バージョン0.5以降にリリースされる予定です。
既にインストールされている場合、
自動アップデート となりますので、
その時に同条件でお試し下さい。
今後とも宜しくお願いいたします。
今回の私の体験記についてですが、御社の商品説明の「今回の0.41では・・・」の記述で、「リスト登録企業についてはブラウザでのファーミングチェック」と言及されていたと記憶しております。
GoogleやYahoo!のキャッシュにもあり、私にはこの件が削除されているように思われます。機能の未実装などで誤った書いていたとしても、それについて31日の22:40分現在で確認できませんでした。
確かにVer.0.41とベータの扱いと思われますが、一般の方にベータ扱いなどという表記はなく、それを一般の方に周知していないのもあると思います。
よろしければ、コメントをお願いします。