hosts ファイル改竄

PLURA 2020-10-20

私たちは Google サイトに接続したいとき、アドレスバーに 172.217.163.228 のように Google の IP アドレスを入力する代わりに、
www.google.com のようにその IP アドレスが割り当てられている特定のドメインを入力して接続します。
この過程は DNS（Domain Name System）があることで動作します。

DNS は、ユーザーが入力したドメインを割り当てられた IP アドレスに変換するシステムで、電話帳のような役割を果たします。

しかし、私たちの PC は DNS からアドレス情報を受け取る前に、優先度が高い hosts ファイルを最初に読み込むことになります。

hosts_file_forgery

hosts ファイルとは？

hosts ファイルは、hostname とそれに対応する IP アドレスを直接記述して設定できるファイルです。
特定のドメインの IP アドレスを 127.0.0.1 に設定すると、そのドメインにブラウザで接続しようとしても、自分自身に向かうため接続できません。

このように、特定のサイトや広告をブロックする方法として利用することができ、
開発者が開発過程で個人の IP アドレスを登録したり、テストを行う場合などによく使用されます。
しかし、一般的なユーザーは hosts ファイルが何をするのか、ファイルが存在するのかさえ知らないことが多いため、
hosts ファイルの内容が変更されている場合は、ハッキングによる改竄の可能性が高いです。

ハッキングによる `hosts` ファイル改竄

hosts ファイルはハッカーに悪用され、ホストの改竄を通じてハッキングに利用されることがあります。
これを利用した代表的なハッキング手法が「ファーミング」です。
ハッカーはメールや広告バナー、リンクなどを使って悪性コードを広めます。
クリックしたユーザーのコンピュータには悪性コードがインストールされ、そのコードは hosts ファイルを改竄し、特定の銀行サイトのドメインをハッカーが作った偽サイトの IP に接続するようにします。

ユーザーはアドレスバーに銀行サイトのドメインを入力して接続しましたが、
実際にはハッカーの偽サイトに接続され、それに気づかないユーザーが個人情報を入力すると、その情報はハッカーの手に渡ります。

`hosts` ファイル改竄防止方法

hosts ファイルが改竄されていることに気づかない場合、ユーザーは正しいドメインを入力して接続したため、それがハッカーのサイトかどうか疑うことなく個人情報を渡してしまいます。
この問題を防ぐためには、ユーザーの行動が重要です。

OS およびウイルス対策ソフトウェアを最新バージョンに保ち、
不明なリンクや広告バナー、メールはクリックしないようにすることが推奨されます。

正常にアクセスできていたドメインが接続できないエラーが発生した場合、hosts ファイル改竄を疑うことができます。
そして、hosts ファイルの権限を読み取り専用に設定することをお勧めします。

Windows の場合は、管理者権限のファイルプロパティを通じて、Linux の場合は ls -al /etc/hosts コマンドを使って hosts ファイルの権限を確認できます。

現在、-rw-r--r-- で 644 の権限が設定されています。
通常 600 の権限が安全とされているので、chmod 600 /etc/hosts コマンドを使って権限を変更し、場合によっては 644 権限を設定することをお勧めします。

`hosts` ファイル改竄確認

hosts ファイルが改竄されているかもしれない場合、ファイルを確認してください。

Windows の場合、C:\Windows\System32\drivers\etc パスのファイルを管理者権限でメモ帳で開きます。
もし hosts.ics ファイルが存在すれば、これは hosts ファイルより優先順位が高いため、ハッキングが疑われるので削除する必要があります。
Linux の場合、sudo vi /etc/hosts コマンドを使って管理者権限でファイルを開きます。
通常、hosts ファイルには 127.0.0.1 localhost という内容しか存在しないため、それ以外の不明な内容があれば削除して保存します。