DNS設定を書き換える「DNS Changer」の感染の有無を確認できるサイト公開


 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は22日、DNS設定を書き換えるマルウェア「DNS Changer」の感染の有無を確認できるサイト「DNS Changer マルウエア感染確認サイト」を公開した。運用期間は7月9日までの予定。

 利用方法は、ウェブブラブラウザーから同サイトにアクセスするだけでよい。アクセスするPCが不正なDNSサーバーを参照していないかどうかで、DNS Changerの感染の有無を判定する仕組み。

 「感染の可能性あり」と判定・表示されると、ウイルス対策ソフトの定義ファイルを最新のものに更新し、システム全体のスキャンを行うよう案内する。ウイルス対策ソフトのないユーザーのために、ベンダー各社が提供しているスキャンツールのリンクも掲載している。

 駆除後、感染確認サイトに再度アクセスし、再び「感染の可能性あり」と表示された場合は、使用しているルーターのDNS設定も確認するよう求めている。DNS Changerの亜種がルーターのDNS設定を変更するケースが確認されているのだという。

 なお、ウェブアクセスにProxyを使用している場合など、正しく確認できない場合があるとしており、判定結果によって感染していないことを保証するのものではないとしている。

「感染の可能性あり」と判定された場合の表示

 DNS Changerは2007年から活動が観測されているマルウェアで、感染したPCのDNSサーバー設定を、不正に構築されたDNSサーバーを参照するよう書き換える。正規のサイトへ接続しようとして、全く異なる不正なサイトに誘導されてしまうことになる。

 米連邦捜査局(FBI)は2011年11月、DNS Changerを利用していた犯罪グループを摘発したが、運用されていた不正なDNSサーバーも停止してしまうと、感染した膨大な数のPCがインターネットに接続できなくなる可能性があることから、DNSサーバーをクリーンなものに置き換えて運用していくことにした。

 ただし、このDNSサーバーは2012年7月9日に運用を終了する見込みとなっており、DNS Changerに感染しているPCは同日以降、ウェブ閲覧などができなくなる可能性がある。

 JPCERT/CCでは、マルウェア被害の拡大防止とともに、同DNSサーバーが運用停止される状況などをふまえ、PCでアクセスするだけでDNS Changerの感染の有無を確認できるサイトを提供することにした。JPCERT/CCによると、現在も世界で35万台の感染PCが存在しており、日本国内にも相当数の感染PCが存在するとの報告があるという。


関連情報


(永沢 茂)

2012/5/22 13:12