7月9日でネット利用不能になる恐れも、「DNS Changer」感染有無の確認を


 7月9日が目前に迫ったことを受け、マルウェア「DNS Changer」に感染していないかチェックするよう、セキュリティソフトベンダーなどがあらためて呼び掛かけている。このマルウェアに感染したまま気が付かずにいると、同日以降、インターネット利用が不能になる“ブラックアウト”状態になってしまうためだ。

 DNS Changerは、感染したPCの設定を、不正に構築されたDNSサーバーを参照するよう書き換えるマルウェアだ。その結果、正規のサイトへ接続しようとして、全く異なる不正なサイトに誘導されてしまう被害に遭う。

DNS Changer(TDSS)の仕組み(カスペルスキーの注意喚起ページより画像転載)

 これを運用していた犯罪グループはすでに昨年11月にFBIなどに摘発され、参照先となっていた不正なDNSサーバーも押さえられた。しかし、即座にこのDNSサーバーを停止してしまうと、感染していた膨大な台数のPCが急にインターネットを利用できなくなってしまう。そこでFBIでは、これをクリーンなものに置き換え、暫定的に運用していくことを決めた。今回、そのDNSサーバーの運用期限である7月9日が目前に迫っているわけだ(なお、当初は運用期限が3月8日とされていたのが、延長された経緯がある)。

 専門家らで構成するDCWG(DNS Changer Working Group)によると、このDNSサーバーを参照しているIPアドレスは、6月11日時点で世界にまだ30万件以上存在。6月13日時点の国別リストでは、日本にも5867件あることが報告されており、DNS Changerに感染したPCが国内にも残っていることがわかる。

 DNS Changerの感染チェックツールは、数カ月前より各社から提供されている。最も簡単に利用できるものとしては、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が「DNS Changerマルウエア感染確認サイト」を公開している。ウェブブラブラウザーから同サイトにアクセスするだけで、感染の可能性の有無を判定・表示する。

「DNS Changerマルウエア感染確認サイト」で「感染の可能性あり」と判定された場合の表示

 Googleは5月下旬より、DNS Changerに感染しているPCに対する警告メッセージの表示を開始している。Google検索にアクセスしてきたPCが感染している可能性がある場合、検索結果ページ最上段に警告が表示されるという。

Google検索での警告メッセージ(Google Online Security Blogより画像転載)

 マカフィーの「SiteAdvisor」では7月5日、感染の有無を診断するとともに、DNS設定を修復するツールの無償提供を開始した。診断サイトにアクセスしてボタンをクリックすることで簡単にチェックでき、感染していた場合には、設定を修復する無料のソリューションをダウンロードするよう促すという。

 このほかカスペルスキーでは、DNS Changerの感染を検知・駆除するための無償ソフト「Kaspersky TDSSKiller」をダウンロード提供している。


関連情報


(永沢 茂)

2012/7/6 19:00