検索:
ホーム   »   不正プログラム   »   巨大ボットネットに利用されたDNSサーバの運用、米連邦裁判所により120日間延長に

巨大ボットネットに利用されたDNSサーバの運用、米連邦裁判所により120日間延長に

  • 投稿日:2012年3月15日
  • 脅威カテゴリ:不正プログラム, ボットウイルス, TrendLabs Report
  • 執筆:Technical Communications - Gelo Abendan
0

2012年3月6日(米国時間)、米連邦裁判所は、同国政府の要請を承認し、DNSチェンジャーと呼ばれる不正プログラムによる感染被害者の救済目的で設置した安全な DNSサーバの運用が 120日間延長されることとなりました。米国政府は、当初、不正な DNSサーバを正常な DNSサーバに置き換えることを民間企業に許可する要請について承認を受けていました。この当初の決定では、2012年3月8日までにその代替サーバの運用が停止されることが決められていました。しかし、今回の決定により、これらのサーバがさらに 4カ月間稼働されることとなりました。この期間延長により、DNSチェンジャーの被害者にとっては PC復旧のための時間がさらに猶予されることとなりました。この期間延長については、エストニアの裁判所が「Rove Digital」の子会社である「Esthost」の運営に関与していた 4名の身柄を新たに引渡す承認をした数日後に決定されました。2011年11月に逮捕された 6人の容疑者全員、エストニア政府の承認のもと、米国に引き渡されることになります。

昨年行われた Esthost 解体は、オンラインセキュリティ業界にとっての勝利と考えられています。米連邦捜査局(FBI)、NASA、エストニア警察、トレンドマイクロ、そしてその他業界関係者による連携により、「Operation Ghost Click」と呼ばれる作戦名のもと、400万以上のボット(感染コンピュータ)で構成される巨大な「DNS改変型ボットネット」が閉鎖されました。この DNS改変型ボットネットは何百万の個人ユーザおよび企業ユーザに影響を及ぼしていたと推定されています。この「史上最大規模のサイバー犯罪者の摘発」ともいわれる Esthostの解体に関する詳細は、過去のブログ記事をご参照ください。

  • 明らかになった巨大ボットネットの正体 - 史上最大規模のサイバー犯罪を摘発
  • 2011年を振り返る - 1)セキュリティ業界、サイバー犯罪撲滅に貢献
  • ■今回の延長が意味することは? 復旧にはまだまだ時間が必要か
    その後、この巨大ボットネットに悪用された DNSサーバは、正常なサーバに設置し直されて運用されており、2012年3月8日(米国時間)に停止される予定となっていました。しかし、正常なサーバに置き換えられたといえども、同様の IPアドレスを使用していたため、このボットネットに利用された「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」に感染したPC は、3月8日以降、DNS の名前解決ができなくなり、Webサイト閲覧などの際に不具合が生じることが懸念されていました。

    今回の期間延長は、被害に遭った PC の復旧には当初決定されていた 3月8日の期限では不十分であるという新たな情報のもとに承認されました。先月に公開された報告によると、300万もの PC がいまだ感染したままである、と指摘しています。DNS改変型ボットネットの被害者の中には、「Fortune 500(フォーチュン500)」に名を連ねる企業の 50%と全米政府機関のほぼ半数が含まれています。米政府は、当初予定していた期日に代替サーバを停止することによって、被害を受けた企業や団体、個人ユーザが混乱するだけだと主張していました。

    なお、今回の DNSチェンジャーは、悪意ある第三者により設置された DNSサーバを利用できるように設定変更することが、昨年 11月の閉鎖以前から確認されていました。この変更の結果、感染ユーザの検索結果を乗っ取ることが可能となり、最終的には、不正プログラムが仕込まれた Webサイトやアドウェアなどに誘導されることになります。また、この DNSチェンジャーは、この感染への対処を手助けするようなセキュリティ Webサイトを閲覧できないように変更する機能も備えていたようです。こうして、DNSチェンジャーの被害に遭ったユーザは、長期間この脅威にさらされることになっています。

    現在、被害者が依然としてこの DNSチェンジャーに感染し続けている中で、代替サーバを停止することは、ユーザがインターネットにアクセスできなくなることを意味しています。トレンドマイクロの Senior Threat Researcher である Feike Hacquebord は、DNSチェンジャーの被害から完全に復旧するにはある程度時間がかかるだろう、と見ています。「Rove Digitalは長年に渡って DNSチェンジャーや他の不正プログラムを拡散し続けてきました。5年以上の期間をかけて行われた不正プログラムによる感染活動によってもたらされた最悪な状況を収束させるのは簡単な仕事ではありません」と説明します。一方で、Hacquebord は、今回の 120日間の延長が前向きな結果をもたらすであろうという期待を寄せています。「「DNS Changer Working Group(DCWG)」は、感染者への連絡や感染PC 復旧のサポートなどインターネットサービスプロバイダ(ISP)への支援を積極的に行っています。こうしたことから、今後数カ月のうちには、感染端末数が大幅に減少するだろうと期待しています」と述べています。

    今回の120日間延長の決定は、Rove Digital や Esthost によってもたらされた被害の深刻さを浮き彫りにしています。ユーザは、Webサイト「eye check」で 使用している IPアドレスを確認することで、コンピュータが感染しているかどうかを確認できます。DCWG も、このボットネットの影響を受けているかをユーザが確認するための、役立つ対処法を提供しています。

    感染確認方法については、以下の情報をご参考ください。

  • JPCERT:DNS 設定を書き換えるマルウエア(DNS Changer)感染に関する注意喚起
      http://www.jpcert.or.jp/at/2012/at120008.html
  • 参考記事:

  • 「Esthost Update: DNS Changer Servers Granted Extension」
     by Gelo Abendan (Technical Communications)
  •  翻訳:太田 真理(Core Technology Marketing, TrendLabs)

    Related posts:

    1. ハッカー集団「LulzSec」、次の標的はブラジルの政府系サイト
    2. 「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か
    3. 匿名通信システム「Tor」への接続ユーザ数急増の要因を究明する
    4. 「ZBOT」やその他の情報収集型不正プログラムにも利用されるプログラミング言語「AutoIt」


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.