ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。

　現在、リダイレクト試験環境の準備をしながら、同時並行して開発の準備を進めているのですが、苦戦しています。理由は、多分仮想環境のディスク容量不足・・・。多分というのは、ディスク容量をコマンドで確認しても、物理的に確認しても不足していないから・・・。ただ、容量を増やすとエラーが解消するので、多分ディスク容量不足だと思っています。リダイレクト試験とは関係ないのですが、優先順としてやはり開発環境の準備のほうが重要なので、そちらを優先しています。
　ハードディスク容量を50Gから300Gに増強し、開発環境を構築中です。リダイレクトの試験を開発環境を構築し終えてからと考えています。26.5GのDBエクスポートファイルの仮想サーバーへのアップロードとDBへのインポートは想像以上に時間を要しています。
　そんな近況ですが、昨日の話の続きをしましょう。

[hostsファイルの危険性]
　昨日、hostsファイルに書かれてドメインへのアクセスは、hostsに記述されている情報が優先されるという話をしました。その機能を利用する攻撃があります。
　インターネットを検索すると、分類としてはファーミング攻撃に分類され、有名なウイルスとしては、「Win32/Qhost」が知られています。2005年にはじめて見つかり、直近では2015年に流行したという記録をインターネットから知ることができます。
　感染の方式は、ウイルス、マルウェア等を用いてhostsファイルを書き換えるという方式だと考えられます。

　攻撃の流れを図解すると左記のような流れになります。

　まず、何らかの手口で、ハッカーは標的者のコンピュータにウイルスを感染させます。

❶ウイルスはhostsの内容を変更します。
❷標的者は、ブラウザのアドレスバーからhttp://www.ginkou.url/と入力します。
❷ブラウザは、DNSを見に行くことなく、http://www.ginkou.url/、IPは、xxx.xxx.xxx.xxxにアクセスします。

以上の流れで、攻撃者は、標的者を攻撃者サイトに誘導することができます。誘導先サイトが、銀行関係のシステムで、正規のサイトと全く同じサイトのつくりになっているとします。標的者は気づかずにユーザーIDとパスワードを入力すると、ユーザーIDとパスワードが盗まれてしまうという流れになります。
　この後のハッカーの行動としては、、正規のサイトにアクセスして、搾取したユーザーIDとパスワードを使って、標的者の口座からお金を盗み出します。
　以前と違い、近頃はhostsファイルを表示するのに管理者権限が必要など、表示することさえめんどくさいことになっているので、そう簡単にこの攻撃は成立しないとは思うのですが、気をつけることにこしたことはありません。ウイルス対策ソフトを導入する、定期的に点検するなどの対策をして下さい。

[hostsとlmhosts]
　hostsファイルと似たファイル名として、lmhostsというファイル名を聞いたことがあると思います。これは、Windowsの設定ファイルの一つで、ネットワーク上のコンピュータのIPアドレスとNetBIOS名（コンピュータ名）の対応を記述したファイルです。「LM」はMS-DOS時代から使われてきたネットワークソフトの「LAN Manager」だそうです。
　こちらのファイルは今までに攻撃に使われたということは聞いたことがありませんので、気を付ける必要はないと思います。
　ファイルの場所は以下の2箇所で確認でき、本来の目的で利用するのは、C:\Windows\System32\drivers\etc\lmhosts.samになります。使用するときは、拡張子のsamはとり使用します。

C:\Windows\System32\drivers\etc\lmhosts.sam
C:\Windows\WinSxS\amd64_microsoft-windows-lmhsvc_31bf3856ad364e35_10.0.19041.1_none_08b1f5ea8fb3c15e\lmhosts.sam

[今後の予定]
　現在、26.5GのDBエクスポートデータを取り込んでいます。このインポートがうまくいけば、多分明後日には、httpからhttpsへのリダイレクト確認作業ができると思います。

　では、また！