JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2012 > DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起

最終更新: 2012-03-07

DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起


各位

                                                   JPCERT-AT-2012-0008
                                                             JPCERT/CC
                                                      2012-03-06(初版)
                                                      2012-03-07(更新)

                 <<< JPCERT/CC Alert 2012-03-06 >>>

  DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起

            https://www.jpcert.or.jp/at/2012/at120008.html


I. 概要

  JPCERT/CC では、DNS 設定を書き換えるマルウエア(以下、DNS Changer) に
関する情報を入手しました。DNS Changer は2007年頃にはじめて検出された
マルウエアですが、DNS Changer に感染した PC は、現在でも世界中で数十万
台以上存在し、日本国内でも相当数の PC が感染しているとのことです。

  また、2011年11月に米国連邦捜査局 (FBI)により、不正な DNS サーバが差し
押さえられ、正常な DNS サーバに置き換えられています。しかし、この DNS
サーバの運用は 2012年3月9日(日本時間)に停止する計画となっているため、
DNS Changer に感染したままの PC は、2012年3月9日(日本時間) 以降、Web
サイトの閲覧やメールの送信などができなくなる可能性があります。

*** 更新: 2012年3月7日追記 ********************************************
  米国連邦地方裁判所の判断により、おおよそ 120 日間 DNS サーバの運用が
延長されることになりました。
***********************************************************************


II. 確認方法

  以下の手順を参考に、PC に設定されている DNS サーバの情報を確認してく
ださい。

  1) Microsoft Windows での DNS 設定情報を確認する
    1. コマンドプロンプトを起動します。
      (Windows 7 の場合)
      「スタートメニュー」-「プログラムとファイルとの検索」に cmd.exe
       と入力して表示されたプログラムをクリックします。
      (Windows XP の場合)
      「スタートメニュー」-「ファイル名を指定して実行(R)」に cmd.exe と
       入力して「OK」をクリックします。
    2. コマンドプロンプトで「ipconfig /all」と入力し、enter を押します。
    3. 表示された一覧の情報から「DNS Servers」または「DNS サーバー」で
       始まる行を確認 (複数の IP アドレスが指定されている場合もあります)
    ※ 複数のインタフェース(有線 LAN、無線 LAN など)を使用している場合
       は、それぞれ確認してください。

  ※ 以下のサイトでも DNS 設定情報の確認手順が紹介されています。参考に
     してください。

    Checking for DNS Changer Malware (英語)
    http://dcwg.org/checkup.html

  2) 1) で確認した DNS サーバの IP アドレスが以下の IP アドレスレンジに
     含まれていないことを確認する

    (不正な DNS サーバの IP アドレスレンジ)
    85.255.112.0 - 85.255.127.255
    67.210.0.0 - 67.210.15.255
    93.188.160.0 - 93.188.167.255
    77.67.83.0 - 77.67.83.255
    213.109.64.0 - 213.109.79.255
    64.28.176.0 - 64.28.191.255

     DNS サーバの IP アドレスが上記アドレスレンジに含まれていた場合は、
     PC が DNS Changer に感染している可能性があります。III. を参考に対
     策を実施してください。


III. 対策

  PC が DNS Changer に感染している可能性がある場合は、以下の対策を実施
してください。

  - PC をネットワークから切り離し、システム担当者の指示に従いマルウエア
    に感染していないか確認してください。

    ※ マルウエアに感染した PC は、外部から別のマルウエアをダウンロード
       する場合があるため、感染が確認された PC は複数のマルウエアに感染
       している可能性があります。

  - DNS サーバの IP アドレスを正規の DNS サーバを参照するように DHCP や
    IP アドレスなどの設定を変更してください。

  また、FBI の情報によると、DNS Changer の亜種がルータの DNS 設定を変更
するケースが確認されているとのことです。DNS Changer に感染した PC が、
発見された場合は、使用しているルータの設定が変更されていないかあわせて
確認してください。詳細は、以下の情報を参照してください。

    DNS Changer Update (NANOG Security BoF)
    http://dcwg.org/docs/DNS_Changer_NANOG54.pdf


III. 参考情報

    Federal Bureau of Investigation (FBI)
    DNSChanger Malware
    http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

    US-CERT
    DNSChanger Malware
    http://www.us-cert.gov/current/index.html#operation_ghost_click_malware

    IIJ-SECT
    DNS Changerマルウェア感染に関する注意喚起
    https://sect.iij.ad.jp/d/2012/02/245395.html

    NANOG
    DNS Changer Update (NANOG Security BoF)
    http://dcwg.org/docs/DNS_Changer_NANOG54.pdf


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2012-03-06 初版
2012-03-07 「I. 概要」に期間延長について追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english