DNSとは何の略で、どのような役割を果たしますか?
DNSとは、「Domain Name System (ドメイン・ネーム・システム、DNS)」の略で、IPアドレスをそれに対応するドメイン名に割り当てるインターネット上の規格のことを指し、この役割を担うサーバのことをDNSサーバと呼びます。つまり、DNSとは、「人間が判読しやすいホスト名」を「コンピュータ向けの数字だけのアドレス」に参照させる「電話帳」ようなのものだといえます。
なお、インターネットを利用しているほとんどのユーザは、契約しているインターネット・サービス・プロバイダ(ISP)運用のDNSサーバをそのまま自動的に使用していますが、ISP運用DNSサーバの速度が遅かったり不安定であったりなど、何らかの理由で別のサードパーティのDNSサーバをユーザが選択しているケースもあります。
DNSチェンジャーとはどのようなマルウェアですか?
「DNSチェンジャー」とは、感染したコンピュータのDNS設定をユーザに気づかれず勝手に変更してしまうトロイの木馬型マルウェアのことです。この変更が施されると、感染したコンピュータは、サイバー犯罪者が設置した別のDNSサーバを使用させられることになります。このため、感染したコンピュータのユーザが特定のWebサイトにアクセスしようとしても、別の不正なWebサイトに誘導されることになります。
DNSチェンジャーと呼ばれるマルウェアは、どのような不正活動を行いますか?
このマルウェアは、通常、「TDSS」や「KOOBFACE」などの他のマルウェアにより作成されることでコンピュータに侵入します。インストールされると、このマルウェアは、侵入したコンピュータのDNS設定を密かに変更します。これにより、サイバー犯罪者の狙いどおり、感染したコンピュータのユーザは、本来の接続業者であるインターネット・サービス・プロバイダ(ISP)運用のDNSサーバではなく、(サイバー犯罪者が設置した)別のDNSサーバを使用させられ、特定のドメインは別の不正なIPアドレスを解決することになります。
DNS設定を変更させることで、サイバー犯罪者たちは、以下のような不正活動を行うことが可能になります。
サイバー犯罪者たちは、DNSチェンジャーの感染拡大からどのように利益を得ることができますか?
「地獄の沙汰も金次第」など、何事も金儲けが絡めば世界中の誰もが目の色を変えてしまうという状況は、特にサイバー犯罪の世界では顕著であり、もちろん、DNSチェンジャーが絡んた金儲けの喧騒も、この点では例外ではないようです。
DNSチェンジャーの作成者がどのようにして利益を得ることができるかという点については、いわゆる「Rove Digitalに関する刑事事件」の文書において詳細が明らかにされています。米国での正式な起訴状によると、(正規のIT企業を装っていた)犯罪者グループのRove Digitalは、主にクライアントとの広告契約により利益を得ていたようです。この場合、特定のサイトに広告を表示(置き換え)させる業務や、そうした広告のクリック数から請求するかたちのビジネスモデルでした。また、同起訴状によると、彼らのビジネスモデルは、こういった広告契約詐欺だけでなく、検索結果のハイジャックなどに及んでいたといいます。
サイバー犯罪者たちは、DNSチェンジャーの感染拡大により、以下のような手口を利用することができます。
この脅威は、なぜユーザにとって要注意なのでしょうか。
DNSチェンジャーは、ユーザに対して以下のような多くの問題をもたらすため、十分に注意すべきマルウェアの脅威だといえます。
DNSチェンジャーに感染したコンピュータの中でも、特に上述の(正規IT企業を装っていた)サイバー犯罪グループRove Digitalにより拡散されたマルウェアに感染したコンピュータのユーザの場合、より深刻な被害に見舞われる可能性があります。2012年7月9日にRove Digitalが使用していたDNSサーバがついに閉鎖されることになるため、感染したままで変更されたDNS設定をリセットせず放置した状態のコンピュータは、閉鎖期日後、インターネット接続を使用できなくなってしまうからです。
DNSチェンジャーは、Macコンピュータにも感染するという点も留意しておくべきでしょう。MacコンピュータのOS X向けに作成されたマルウェアも、同様に、感染したコンピュータのDNS設定を変更し、ユーザを偽サイトや不正サイトへ誘導するため、注意が必要です。
感染したコンピュータのユーザは、どのようにしてDNSチェンジャーを取り除くことができますか。
感染したコンピュータのユーザは、ご使用のセキュリティソフトでDNSチェンジャーを削除した後、さらに以下の手順に従い、手動でDNS設定のリセットを行う必要があります。
Windows OSの場合
Mac OS Xの場合
トレンドマイクロ製品は、DNSチェンジャーによる脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」を実装した「ウイルスバスター2012クラウド」(「ウイルスバスター for Mac」 は「クラウド技術」のうちWebレピュテーションのみ実装)や、「ウイルスバスター™ ビジネスセキュリティ」、「ウイルスバスター™ コーポレートエディション10.6」等は、DNSチェンジャーおよび他の脅威から、ユーザのコンピュータと個人情報を守ります。
トレンドマイクロの専門家からのコメント:
DNSチェンジャーに感染したコンピュータのボットネットを活用した金儲けのため、サイバー犯罪者たちは、様々な方法を駆使しており、その中には、検索結果のハイジャックや、正規サイト上の広告の置き換え、他のマルウェアの感染といった方法も含まれています。そうした中、トレンドマイクロでは、Rove Digitalが使用していたC&Cサーバやバックエンド・インフラ等を早い段階で特定し、2011年11月8日の大規模摘発まで監視を続けることができました。むろん、この摘発におけるボットネット閉鎖に際しては、感染したお客様側での不便を最小限に留めるための他の業界の人々からの素晴らしい協力と連携も特筆すべきことだったといえるでしょう。
- シニア・スレット・リサーチャー:Feike Hacquebord