DNS設定を書き換えるウイルス「DNS Changer」に感染したパソコンは、7月9日以降インターネットに接続できなくなるおそれがあるとして、セキュリティ企業や機関が注意を呼び掛けている。JPCERTコーディネーションセンター(JPCERT/CC)は22日、不正なDNS設定をチェックする「DNS Changer マルウエア感染確認サイト」を公開。グーグルも該当者の検索結果に警告を表示するサービスを開始した。
DNS(Domain Name System)は、URLなどに使用する文字列のホスト名を、通信時に使うIPアドレスに変換する名前解決の仕組みのこと。DNS Changerは、感染パソコンが不正なDNSサーバーを使うようにパソコンの設定を書き換え、正規サイトへのアクセスを不正なサイトに誘導し、不正な広告表示や偽セキュリティソフトなどで収益を上げていた。FBIの発表によると、約400万台のパソコンが感染し、1400万ドル以上の収益があったという。
DNS Changerを使った犯罪集団は、昨秋摘発され、使用していたサーバー群が差し押さえられた。不正なDNSサーバーは、正常なDNSサーバーに置き換えられ、感染パソコンが書き換えられたDNSサーバーを利用していても、不正なサイトに誘導されることはなくなった。ところが、この差し押さえ期限が7月9日に迫っており、その後はDNSサーバーとして利用できなくなってしまう可能性がある。設定が書き換えられたままだと、名前解決ができなくなり、Webサイトやメールサーバーにアクセスできなくなってしまうのだ。
DNS Changer対策を推進しているDDWC(DNS Changer Working Group)の発表によると、いまだに35万台ものパソコンが、DNS設定を書き換えられたまま使われているという。
■確認サイトでチェックしよう
パソコンのDNS設定が書き換えられていないかどうかを簡単に調べられるよう、DDWCや各国のセキュリティ機関などが、チェックサイトを開設しており、今回、JPCERT/CCが日本語表示のチェックサイトを開設した。下記の「DNS Changer マルウエア感染確認サイト」にアクセスし、緑色の「◎」で「DNS Changerマルウエアの感染は確認できません」と表示されたら。DNS ChangerによるDNS設定の書き換えは行われていない。書き換えられたDNSサーバーを利用している場合には、赤色の「×」で「DNS Changer マルウエアに感染している可能性があります」と表示される。
グーグルでは、検索結果ページに警告を表示するようになっている。書き換えられたDNSサーバーを利用している場合には、検索結果ページの上部に「お使いのパソコンは感染しているようです」と表示される。「このソフトウェアを削除する方法についてはこちらをご覧ください」のリンクをクリックすると、詳細と対策ページに案内される。
■警告が表示された場合には
これらのサイトでは、DNS Changerに感染中でDNS設定が書き換えられている場合と、駆除済みだがDNS設定が書き換えられたままになっている場合に警告が表示される。前者の場合はDNS Changerの駆除とDNS設定の修復を、後者の場合はDNS設定の修復を行う必要がある。DNS Changerの駆除は、各社から無償のツールが提供されているので、まずはこれを使ってDNS Changerの駆除を試みる。
再起動後も警告表示が続く場合には、DNS設定が修復されていない可能性がある。各社のツールが、DNS設定の修復まで行うのかどうかは不明だが、グーグルでは、このような場合には、DNS設定の修正を行う「Avira DNS Repair Tool」を改めて使用するよう勧めている。このツールは、Windowsのネットワーク設定をリセットするので、IPアドレスやDNSサーバーなどのネットワーク設定を自動取得する一般的なプロバイダの場合には、これで解決できる。プロバイダから、参照するDNSサーバーのIPアドレスを指定されている場合には、改めてプロバイダの指定通りにWindowsのネットワーク設定を行っていただきたい。
再起動後もさらに警告表示が続く場合には、一部のDNS Changerの亜種により、ルーターの設定が変更されている可能性がある。お使いのルーターのマニュアルを参照してルーターの設定ページを開き、DNSサーバーを自動取得、または、プロバイダから指定されたIPアドレスに設定しなおしていただきたい。
(2012/05/29 ネットセキュリティニュース)
【関連URL】
・DNS Changer マルウエア感染確認サイト
http://www.dns-ok.jpcert.or.jp/
・DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2012/at120008.html
・Notifying users affected by the DNSChanger malware[英文](Google Online Security Blog)
http://googleonlinesecurity.blogspot.jp/2012/05/notifying-users-affected-by-dnschanger.html
・DNS Changerマルウェア感染に関する注意喚起(IIJ-SECT)
https://sect.iij.ad.jp/d/2012/02/245395.html
・DNS Changerマルウェア感染に関する注意喚起 (続報)(IIJ-SECT)
https://sect.iij.ad.jp/d/2012/03/074130.html
【各社の駆除ツール】
・ルートキット駆除ユーティリティ「TDSSkiller」(カスペルスキー)
http://support.kaspersky.co.jp/faq/?qid=208288215
・ウイルス駆除ツール「Stinger」(マカフィー)
http://www.mcafee.com/japan/security/stinger.asp
・Windows Defender Offline(マイクロソフト)
http://windows.microsoft.com/ja-jp/windows/what-is-windows-defender-offline
・Microsoft Safety Scanner(マイクロソフト)
http://www.microsoft.com/security/scanner/ja-jp/default.aspx
・ノートン パワー イレイサー(シマンテック)
http://security.symantec.com/nbrt/npe.aspx
・Trend Micro Housecall(トレンドマイクロ)
http://jp.trendmicro.com/jp/tools/housecall/
【DNS修正ツール】
・Avira DNS Repair Tool[英文](Avira)
http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1199