DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起
最終更新: 2012-03-07
各位
JPCERT-AT-2012-0008
JPCERT/CC
2012-03-06(初版)
2012-03-07(更新)
<<< JPCERT/CC Alert 2012-03-06 >>>
DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120008.html
I. 概要
JPCERT/CC では、DNS 設定を書き換えるマルウエア(以下、DNS Changer) に
関する情報を入手しました。DNS Changer は2007年頃にはじめて検出された
マルウエアですが、DNS Changer に感染した PC は、現在でも世界中で数十万
台以上存在し、日本国内でも相当数の PC が感染しているとのことです。
また、2011年11月に米国連邦捜査局 (FBI)により、不正な DNS サーバが差し
押さえられ、正常な DNS サーバに置き換えられています。しかし、この DNS
サーバの運用は 2012年3月9日(日本時間)に停止する計画となっているため、
DNS Changer に感染したままの PC は、2012年3月9日(日本時間) 以降、Web
サイトの閲覧やメールの送信などができなくなる可能性があります。
*** 更新: 2012年3月7日追記 ********************************************
米国連邦地方裁判所の判断により、おおよそ 120 日間 DNS サーバの運用が
延長されることになりました。
***********************************************************************
II. 確認方法
以下の手順を参考に、PC に設定されている DNS サーバの情報を確認してく
ださい。
1) Microsoft Windows での DNS 設定情報を確認する
1. コマンドプロンプトを起動します。
(Windows 7 の場合)
「スタートメニュー」-「プログラムとファイルとの検索」に cmd.exe
と入力して表示されたプログラムをクリックします。
(Windows XP の場合)
「スタートメニュー」-「ファイル名を指定して実行(R)」に cmd.exe と
入力して「OK」をクリックします。
2. コマンドプロンプトで「ipconfig /all」と入力し、enter を押します。
3. 表示された一覧の情報から「DNS Servers」または「DNS サーバー」で
始まる行を確認 (複数の IP アドレスが指定されている場合もあります)
※ 複数のインタフェース(有線 LAN、無線 LAN など)を使用している場合
は、それぞれ確認してください。
※ 以下のサイトでも DNS 設定情報の確認手順が紹介されています。参考に
してください。
Checking for DNS Changer Malware (英語)
http://dcwg.org/checkup.html
2) 1) で確認した DNS サーバの IP アドレスが以下の IP アドレスレンジに
含まれていないことを確認する
(不正な DNS サーバの IP アドレスレンジ)
85.255.112.0 - 85.255.127.255
67.210.0.0 - 67.210.15.255
93.188.160.0 - 93.188.167.255
77.67.83.0 - 77.67.83.255
213.109.64.0 - 213.109.79.255
64.28.176.0 - 64.28.191.255
DNS サーバの IP アドレスが上記アドレスレンジに含まれていた場合は、
PC が DNS Changer に感染している可能性があります。III. を参考に対
策を実施してください。
III. 対策
PC が DNS Changer に感染している可能性がある場合は、以下の対策を実施
してください。
- PC をネットワークから切り離し、システム担当者の指示に従いマルウエア
に感染していないか確認してください。
※ マルウエアに感染した PC は、外部から別のマルウエアをダウンロード
する場合があるため、感染が確認された PC は複数のマルウエアに感染
している可能性があります。
- DNS サーバの IP アドレスを正規の DNS サーバを参照するように DHCP や
IP アドレスなどの設定を変更してください。
また、FBI の情報によると、DNS Changer の亜種がルータの DNS 設定を変更
するケースが確認されているとのことです。DNS Changer に感染した PC が、
発見された場合は、使用しているルータの設定が変更されていないかあわせて
確認してください。詳細は、以下の情報を参照してください。
DNS Changer Update (NANOG Security BoF)
http://dcwg.org/docs/DNS_Changer_NANOG54.pdf
III. 参考情報
Federal Bureau of Investigation (FBI)
DNSChanger Malware
http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
US-CERT
DNSChanger Malware
http://www.us-cert.gov/current/index.html#operation_ghost_click_malware
IIJ-SECT
DNS Changerマルウェア感染に関する注意喚起
https://sect.iij.ad.jp/d/2012/02/245395.html
NANOG
DNS Changer Update (NANOG Security BoF)
http://dcwg.org/docs/DNS_Changer_NANOG54.pdf
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
________
改訂履歴
2012-03-06 初版
2012-03-07 「I. 概要」に期間延長について追記
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ