2012年7月9日、約30万人ものユーザが、インターネットに接続できなくなりました。というのも、「DNS 設定の変更を行なうトロイの木馬型の不正プログラム(DNS チェンジャー)」を削除していなかったからです。2011年11月8日、エストニアを拠点とするサイバー犯罪組織「Rove Digital」によって運営されていたネットワークのインフラが閉鎖されました。その直後、米連邦捜査局(FBI)は、DNS チェンジャーによる感染被害者の救済のために安全な DNS サーバを設置しました。しかし、この代替サーバは、3カ月(その後6カ月に延長)の期間内に感染コンピュータから DNS チェンジャーを除去するための一時的な解決策でした。
実際、DNS チェンジャーに感染した何十万もの被害者が、インターネットへ接続できなくなるといった深刻な状況は、以前にも発生しており、2008年の秋、サンフランシスコに拠点を置くWebホスティングサービスの再販業者であった「Atrivo」が操業停止となりました。当時、「Rove Digital」の大部分のサーバは、Atrivo のデータセンタ内に存在していました。そのため Atrivo の閉鎖によって、数日の間、半数以上の偽 DNS サーバが停止する事態が2008年に起こりました。そしてこの期間、DNS チェンジャーの感染被害者の大半も、インターネットに接続不能となりました。しかしその数日後、Rove Digital は、ニューヨークに設置されたWebホスティング会社である「Pilosoft」を通じて偽 DNS ネットワークを復活させました。DNS チェンジャーのネットワークインフラのほとんどが、Pilosoft のデータセンタへと移管されました。詳細については、以下からレポートをダウンロードしてご一読ください。
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
報道機関のなかには、2012年7月9日を「インターネット最後の日」と称しているものもありましたが、7月9日は何事も無く過ぎ、他の「滅亡説」などと同じように的中しなかったように思われました。
しかし、「インターネット最後の日」と呼ばれた日が、大規模な影響を及ぼさなかったものの、何の被害も確認されなかったわけではありません。
世界で30万台のコンピュータ(他方では、推定50万台とも言われています)がオフラインとなるため、どのような影響が及ぼされるか、予測不可能ではありますが、生産力の低下やコンピュータ修理費などが実質的な懸念事項となり、これによる被害額は数百万ドルに相当する可能性があります。ここで明確にしておきたい点は、このような被害をもたらした原因は、Rove Digital であって、FBI やその他の団体ではないということです。しかし、不満の声が聞こえてこないのは、本件に関わる被害者が、世界中に分散しているためであると考えられます。また、米国やカナダの大規模なインターネット・サービス・プロバイダー(ISP)の多くは、この「インターネット最後の日」に向けて慎重に準備を施してきたところもありました。さらに、ほかの ISP のなかには、「DNS Changer Working Group(DCWG)」の協力のもと、感染顧客のコンピュータから DNS チェンジャーの駆除に成功したところもありました。トレンドマイクロは、DCWG の第一産業パートナーの一つであり、また2011年、Rove Digital に関わっていた容疑者を逮捕するまでの調査期間中、中心となって貢献した唯一のセキュリティベンダーでした。その後、Google やFacebook といった企業が協業に参加し、そしてかつてない規模で、DNS チェンジャーに感染しているユーザに対し警告のメッセージを発信しました。
DCWG の功績によって感染者数を減らすことができましたが、Facebook や Google、世界中の主力報道機関の力を持ってしても、残りの30~50万の感染ユーザにこの警告のメッセージが届かなかったことは、いささか不思議な気がします。
参考記事:
by Feike Hacquebord (Senior Threat Researcher)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)