-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2012-0008 JPCERT/CC 2012-03-06(初版) 2012-03-07(更新) <<< JPCERT/CC Alert 2012-03-06 >>> DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120008.html I. 概要 JPCERT/CC では、DNS 設定を書き換えるマルウエア(以下、DNS Changer) に 関する情報を入手しました。DNS Changer は2007年頃にはじめて検出された マルウエアですが、DNS Changer に感染した PC は、現在でも世界中で数十万 台以上存在し、日本国内でも相当数の PC が感染しているとのことです。 また、2011年11月に米国連邦捜査局 (FBI)により、不正な DNS サーバが差し 押さえられ、正常な DNS サーバに置き換えられています。しかし、この DNS サーバの運用は 2012年3月9日(日本時間)に停止する計画となっているため、 DNS Changer に感染したままの PC は、2012年3月9日(日本時間) 以降、Web サイトの閲覧やメールの送信などができなくなる可能性があります。 *** 更新: 2012年3月7日追記 ******************************************** 米国連邦地方裁判所の判断により、おおよそ 120 日間 DNS サーバの運用が 延長されることになりました。 *********************************************************************** II. 確認方法 以下の手順を参考に、PC に設定されている DNS サーバの情報を確認してく ださい。 1) Microsoft Windows での DNS 設定情報を確認する 1. コマンドプロンプトを起動します。 (Windows 7 の場合) 「スタートメニュー」-「プログラムとファイルとの検索」に cmd.exe と入力して表示されたプログラムをクリックします。 (Windows XP の場合) 「スタートメニュー」-「ファイル名を指定して実行(R)」に cmd.exe と 入力して「OK」をクリックします。 2. コマンドプロンプトで「ipconfig /all」と入力し、enter を押します。 3. 表示された一覧の情報から「DNS Servers」または「DNS サーバー」で 始まる行を確認 (複数の IP アドレスが指定されている場合もあります) ※ 複数のインタフェース(有線 LAN、無線 LAN など)を使用している場合 は、それぞれ確認してください。 ※ 以下のサイトでも DNS 設定情報の確認手順が紹介されています。参考に してください。 Checking for DNS Changer Malware (英語) http://dcwg.org/checkup.html 2) 1) で確認した DNS サーバの IP アドレスが以下の IP アドレスレンジに 含まれていないことを確認する (不正な DNS サーバの IP アドレスレンジ) 85.255.112.0 - 85.255.127.255 67.210.0.0 - 67.210.15.255 93.188.160.0 - 93.188.167.255 77.67.83.0 - 77.67.83.255 213.109.64.0 - 213.109.79.255 64.28.176.0 - 64.28.191.255 DNS サーバの IP アドレスが上記アドレスレンジに含まれていた場合は、 PC が DNS Changer に感染している可能性があります。III. を参考に対 策を実施してください。 III. 対策 PC が DNS Changer に感染している可能性がある場合は、以下の対策を実施 してください。 - PC をネットワークから切り離し、システム担当者の指示に従いマルウエア に感染していないか確認してください。 ※ マルウエアに感染した PC は、外部から別のマルウエアをダウンロード する場合があるため、感染が確認された PC は複数のマルウエアに感染 している可能性があります。 - DNS サーバの IP アドレスを正規の DNS サーバを参照するように DHCP や IP アドレスなどの設定を変更してください。 また、FBI の情報によると、DNS Changer の亜種がルータの DNS 設定を変更 するケースが確認されているとのことです。DNS Changer に感染した PC が、 発見された場合は、使用しているルータの設定が変更されていないかあわせて 確認してください。詳細は、以下の情報を参照してください。 DNS Changer Update (NANOG Security BoF) http://dcwg.org/docs/DNS_Changer_NANOG54.pdf III. 参考情報 Federal Bureau of Investigation (FBI) DNSChanger Malware http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf US-CERT DNSChanger Malware http://www.us-cert.gov/current/index.html#operation_ghost_click_malware IIJ-SECT DNS Changerマルウェア感染に関する注意喚起 https://sect.iij.ad.jp/d/2012/02/245395.html NANOG DNS Changer Update (NANOG Security BoF) http://dcwg.org/docs/DNS_Changer_NANOG54.pdf 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2012-03-06 初版 2012-03-07 「I. 概要」に期間延長について追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBT1bM9zF9l6Rp7OBIAQh+hwgAmVIqjpzhoUInOYzty2Cy5MPz0Ttfofwg YRb0esfuDkcn8VJ2oyCS3j+VVFnCTkkIhDqjE9gf/L6sq1flbdXXsPbUrkdWnbdQ AEqldVQ1vPT+0FYnk5nvQN93OBxo7HvEx1A49ce12Br+e6GPami6IBkSHk4xNWy8 K4Tk/s2GYsROiFCGMfZRTV7BZfcIDE5VNwOMTiZMfYMi+G8DqonG8nzCSvWa7Rlx y/zw62Ra5QBXYlWQmAXPQ6AbOKjIwPsUJJZ4CTKGN3wJZGasor8PSKh7YPy/qS1W 2UFU9pswkXGSSqLgGQSFPYCF1LTzE2RYESrfW3YkwyUF+rG1UL4jUw== =C8sK -----END PGP SIGNATURE-----