トレンドマイクロは、2012年6月11日、「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」の感染被害者の救済目的で設置されている安全な DNSサーバの運営期限があと 1カ月に迫っていることを本ブログ上で報告しました。DNSチェンジャーに感染した 400万以上のボットにより形成された巨大な「DNS改変型ボットネット」が閉鎖され、2011年11月8日、「Rove Digital」や「Esthost」という会社を通じてこのボットネット運営に関与していたサイバー犯罪者集団が検挙されてから数カ月経っていますが、この巨大ボットネットに関する問題はまだ解決されていません。「DNS Changer Working Group(DCWG)」によると、いまだ 30万人以上の PC が DNSチェンジャーに感染した状態であるとのこと。DNSチェンジャーの感染被害者の PC は、今月 9日に救済目的で設置されていた安全な DNSサーバが停止すると、インターネットに接続することができなくなります。
なぜこの DNSチェンジャーがいまだ重大な問題になっているのか、今一度振り返ってみましょう。DNSチェンジャーは、ひそかに侵入した PC の設定を変更し、まったく別の不正DNSサーバを利用させます。DNSサーバは、不正な第三者によって設置されており、特定のドメインがまったく別の不正なIPアドレスに変換する細工が施されています。この結果、被害を受けたユーザは、気づかないまま不正なWebサイトに誘導されることとなります。DNSチェンジャーに感染したコンピュータのボットネットを活用した金儲けのために、サイバー犯罪者たちは様々な方法を駆使しており、その中には、検索結果のハイジャックや、正規サイト上の広告の置き換え、他の不正プログラムへの感染といった方法も含まれています。
そして、このDNSチェンジャーは、「Rove Digital」や「Esthost」という会社を隠れ蓑にして巨大ボットネットを操作していたサイバー犯罪組織の主要なサイバー犯罪ツールでした。2011年11月にこの DNSチェンジャーに感染した PC により構築されていた巨大ボットネットが閉鎖されましたが、当時、合計400万人がこの被害に遭っていたと推定しています。このサイバー犯罪組織は、DNSチェンジャーを駆使して、クリック詐欺などを働いていました。この詐欺の手口により、Webサイトや検索結果が別の不正な Webサイトに誘導され、検索結果の提供元や広告主から金銭をだまし取ることができました。
FBI による容疑者逮捕後、偽DNSサーバは、感染被害者のために、民間の NPO が運営する安全な DNSサーバに置き換えられました。というのも、この対応が実施されなかった場合、偽DNSサーバの閉鎖とともに、感染被害者は、何の警告もなしにインターネットにアクセスできなくなるからです。
DNSチェンジャー感染者用代替サーバ運用停止に伴う詳細については、下記をご参照ください。
 |
http://jp.trendmicro.com/jp/threat/aboutthreat/detail/dns_changer/
自身のコンピュータが感染していないかどうか、感染していた場合の対処法、サイバー犯罪組織「Rove Digital」、そして DNSチェンジャーについての詳細が掲載されています。
代替サーバ運用停止期日は、7月9日。ユーザのみなさんは、今一度、上記 Webサイトを参考にご確認ください。
・DNSチェンジャー感染者用のDNSサーバ運用、あと1カ月に迫る
/archives/5347
・巨大ボットネットに利用されたDNSサーバの運用、米連邦裁判所により120日間延長に
/archives/4881
・2011年を振り返る - 1)セキュリティ業界、サイバー犯罪撲滅に貢献
/archives/4724
・明らかになった巨大ボットネットの正体 - 史上最大規模のサイバー犯罪を摘発
/archives/4600
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)