感染PCからインターネット接続が正常にできなくなる恐れ
DNS設定を変更するマルウェア「DNS Changer」に注意呼び掛け
2012/03/06
JPCERTコーディネーションセンター(JPCERT/CC)は3月6日、PCのDNS設定を書き換えるマルウェア「DNS Changer」に感染していないかどうか、チェックを呼び掛けた。
DNS Changerは、感染するとPCのDNS設定を書き換え、ウイルス対策ソフトウェアの機能を妨害したり、検索結果を書き換えて、悪意あるサイトや偽のセキュリティ対策ソフトの配布サイトに誘導するマルウェアだ。その歴史は古く、初めて検出されたのは2007年ごろにさかのぼる。現在でもDNS Changerに感染しているPCは世界中で約45万台存在しており、JPCERT/CCによると、日本国内でも「相当数」が感染しているという。
対策として米国連邦捜査局(FBI)は2011年11月、DNS Changerのコマンド&コントロールサーバ(C&Cサーバ)および不正なDNSサーバを差し押さえた。C&Cサーバが運用されていたIPアドレスでは現在、クリーンなDNSサーバが運用されており、感染したPCが不正なサイトに誘導される恐れはない。
しかし、このDNSサーバの運用が日本時間の3月9日に停止する予定だ。この結果、DNS Changerに感染したままのPCではDNSの名前解決ができなくなり、インターネットに正常に接続できなくなる恐れがある。
JPCERT/CCでは、PCに設定されているDNSサーバの情報を確認し、不正なDNSサーバのIPアドレスレンジが含まれていないかどうか確認するよう推奨している。米FBIでは、DNS Changerへの感染の有無をチェックするツールも公開している。もし感染が確認された場合は、端末をネットワークから切り離してさらなるマルウェア感染がないかチェックするとともに、正規のDNSサーバを参照するようにDNS設定を変更すべきという。
FBIの情報によれば、ルータのDNS設定を変更するDNS Changerの亜種も確認されているという。これを踏まえJPCERT/CCでは、もしDNS Changerの感染が見つかった場合は、ルータの設定が変更されていないかどうかも同時に確認するよう勧めている。
なお米政府は、正規DNSサーバの運用を4カ月延長するよう、裁判所に申し立てを行っている。
3月7日追記:上記の申し立てを受け、米国連邦地方裁判所の判断により、DNSサーバの運用がおよそ120日間延長されることになった。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
