Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

DNSChanger: まもなくブラックアウト!

Created: 21 Jun 2012 04:53:26 GMT • Translations available: English, 简体中文
Symantec Security Response's picture
0 0 Votes
Login to vote

DNSChanger と呼ばれるマルウェアが、しばらく前から、そして依然として話題になっています。7 月 9 日までに対策を講じないとインターネット接続ができなくなるユーザーが続出します。特に関心の高いあるお客様から、このマルウェアの実態は何なのか、どのように動作するのか、そしてそのお客様にとって(またそれ以外のユーザーにとって)最終的にどのような影響があるのかなど、シマンテックセキュリティレスポンスに多くの質問が寄せられています。その質問と、シマンテックからの回答を以下にまとめました。

ノートンユーザー(以下、NU)からの質問: 最近話題になっている、この DNSChanger とはいったい何ですか。

シマンテックセキュリティレスポンス(以下、SSR)からの回答: 感染したコンピュータ上でドメインネームシステム(DNS)の設定を変更するマルウェアです。名前もこれに由来します。

NU: その DNS 設定とは何ですか。どのような影響があるのですか。

SSR: DNS とは、ユーザーにわかりやすいドメイン名を、コンピュータ間の通信に使われる数値形式の IP(インターネットプロトコル)アドレスに変換するインターネット上のサービスです。Web ブラウザのアドレスバーにドメイン名を入力すると、コンピュータはまず DNS サーバーと通信して Web サイトの IP アドレスを特定し、その IP アドレスを使って Web サイトを検索し、接続します。DNS サーバーは、契約しているサービスプロバイダ(ISP)によって運用されており、お使いのコンピュータのネットワーク設定で指定されています。

図 1. DNS のしくみ
 

NU: わかりました。では、DNSChanger は何をするのですか。

SSR: コンピュータの DNS 設定を変更すれば、マルウェアの作成者はコンピュータがインターネット上で接続する Web サイトを操作できるので、侵入先のコンピュータを偽の Web サイトに接続させたり、本来の Web サイトとは違うサイトにリダイレクトしたりできることになります。そのために、マルウェアの作成者はコンピュータを悪質なコードで感染させる必要がありますが、それが今回は DNSChanger なのです。いったん侵入に成功すると、DNSChanger は ISP の正規サーバーのアドレスから、不正な DNS サーバーのアドレスに、DNS 設定を変更します。

図 2. DNSChanger のしくみ

NU: 私を含めた、シマンテック製品のユーザーはこの脅威から保護されていますか。

SSR: もちろんです。シマンテックはこの脅威を Trojan.Flush.K として検出します。元々これは Trojan.Dnschanger という名前で、この検出は 2007 年 1 月から始まっています。

NU: ばかげた質問かもしれませんが、不正なサーバーにリダイレクトしようとする犯人の意図は何なのでしょうか。

SSR: いいえ、むしろ良い質問です。でも、答えはきわめて単純で、目的はお金です。犯人の動機と、この犯行の手口については、Kevin Haley のブログ記事にうまくまとめられているので、詳しくはそちらをご覧ください

NU: なるほど。ひとつ知りたいのは、こうしたマルウェアと犯罪がいつ頃から存在しているのかということです。Kevin Haley 氏の記事によれば、犯人が FBI に逮捕されたのは昨年末ということですが。

SSR: はい、そのとおりです。FBI のサイトに「Operation Ghost Click」というわかりやすい記事が載っていますが、この犯行グループの逮捕につながったのは、この捜査でした。ぜひそちらもお読みください。

NU: では、いまだに騒ぎが続いているのはどうしてですか。

SSR: はい、その質問をお待ちしていました。FBI は、犯人グループが使っていた不正な DNS サーバーの代わりに正常な DNS サーバーを配備して管理するよう、裁判所命令を通じて ISC(Internet Systems Consortium)に指示しました。感染したコンピュータのユーザーが感染を除去するための時間の猶予をもうけるためです。しかし、これはあくまでも一時的な措置であり、裁判所命令に従って ISC が運用しているサーバーは、2012 年 7 月 9 日に停止する予定です。その期日を過ぎると、まだ感染を除去していないコンピュータはインターネットにアクセスできなくなる、いわば「ブラックアウト」状態になってしまうのです。

NU: つまり、このマルウェアに感染しているコンピュータは、一部のサイトにアクセスできなくなる、ということですか。

SSR: いいえ。わかりやすく言い換えましょう。インターネットへの接続が完全に絶たれます。FBI の命令で用意されたサーバーをポイントする DNS エントリを 7 月 9 日の時点でまだ使っているコンピュータは、インターネットにまったくアクセスできなくなるのです。在宅勤務も、Facebook の更新も、DNS 設定を修正しない限り、いっさいできなくなります。

NU: でも、このマルウェアは隔離されたのですから、ほとんどのユーザーはもう、インターネットに接続できなくなるおそれはないのではありませんか。

SSR: 残念ながら、そうではありません。最新の統計によると、現在 FBI が管理している不正な DNS サーバーには、今でも 300,000 台以上のコンピュータがリダイレクトされているというのですから。

NU: それでは、自分のコンピュータが DNSChanger に感染しているかどうか、どうやって見分ければいいのでしょうか。

SSR: お使いのコンピュータがこのマルウェアに感染しているかどうかの判別をお手伝いし、また除去についてもサポートするために、DCWG(DNSChanger Working Group)という専門家グループが創設されています。この DCWG が運用している DNS Changer Check-Up というページにアクセスすれば、コンピュータが感染しているかどうか判定できます。また、他の組織が運用している各国語のページの一覧も、DCWG の「Detect」ページに掲載されています(訳注: JPCERT が日本語による判定ページを公開しています)。さまざまな組織が、DNSChanger に感染しているコンピュータのユーザーに対して通知に努めているほか、FBI でも、コンピュータが感染しているかどうかを手動で確認する手順を文書にまとめ、公開しています。

悪質なコンポーネントの検出に加え、シマンテックとノートンをお使いのお客様が万一 DNSChanger に感染していた場合には、シマンテックのエンドポイント製品を通じて SecurityRisk.FlushDNS という検出名でお知らせしています。シマンテックの記事には、さらに詳しい情報と、手動の除去方法が説明されています。DNS 設定の変更についてご不明な点がある場合には、契約先の ISP かネットワーク管理者にお問い合わせください。

NU: シマンテック製品で、ユーザーの DNS 設定を自動的に修正すればいいのでは。

SSR: シマンテック製品が、感染したコンピュータの DNS 設定を修復することはありません。本来の正しい設定がどうなっていたかが弊社ではわからないからです。インターネットへの接続を失わないためには、DNS を正しい設定に戻す必要があります。

NU: そのほか、知っておくべきことはありますか。

SSR: シマンテックには、安全でない Web サイトを遮断するように設定されている独自の DNS サーバーがあります。それが Norton ConnectSafe(英語)という製品です。とても便利なうえに、ご利用は完全に無料です。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。