感染PCからインターネット接続が正常にできなくなる恐れ / DNS設定を変更するマルウェア「DNS Changer」に注意呼び掛け

 JPCERTコーディネーションセンター(JPCERT/CC)は3月6日、PCのDNS設定を書き換えるマルウェア「DNS Changer」に感染していないかどうか、チェックを呼び掛けた。

 DNS Changerは、感染するとPCのDNS設定を書き換え、ウイルス対策ソフトウェアの機能を妨害したり、検索結果を書き換えて、悪意あるサイトや偽のセキュリティ対策ソフトの配布サイトに誘導するマルウェアだ。その歴史は古く、初めて検出されたのは2007年ごろにさかのぼる。現在でもDNS Changerに感染しているPCは世界中で約45万台存在しており、JPCERT/CCによると、日本国内でも「相当数」が感染しているという。

 対策として米国連邦捜査局(FBI)は2011年11月、DNS Changerのコマンド&コントロールサーバ(C&Cサーバ)および不正なDNSサーバを差し押さえた。C&Cサーバが運用されていたIPアドレスでは現在、クリーンなDNSサーバが運用されており、感染したPCが不正なサイトに誘導される恐れはない。

 しかし、このDNSサーバの運用が日本時間の3月9日に停止する予定だ。この結果、DNS Changerに感染したままのPCではDNSの名前解決ができなくなり、インターネットに正常に接続できなくなる恐れがある。

 JPCERT/CCでは、PCに設定されているDNSサーバの情報を確認し、不正なDNSサーバのIPアドレスレンジが含まれていないかどうか確認するよう推奨している。米FBIでは、DNS Changerへの感染の有無をチェックするツールも公開している。もし感染が確認された場合は、端末をネットワークから切り離してさらなるマルウェア感染がないかチェックするとともに、正規のDNSサーバを参照するようにDNS設定を変更すべきという。

 FBIの情報によれば、ルータのDNS設定を変更するDNS Changerの亜種も確認されているという。これを踏まえJPCERT/CCでは、もしDNS Changerの感染が見つかった場合は、ルータの設定が変更されていないかどうかも同時に確認するよう勧めている。

 なお米政府は、正規DNSサーバの運用を4カ月延長するよう、裁判所に申し立てを行っている。

3月7日追記:上記の申し立てを受け、米国連邦地方裁判所の判断により、DNSサーバの運用がおよそ120日間延長されることになった。

@IT
http://www.atmarkit.co.jp/news/201203/06/dnschanger.html