DNSとは何の略で、どのような役割を果たしますか?

DNSとは、「Domain Name System (ドメイン・ネーム・システム、DNS)」の略で、IPアドレスをそれに対応するドメイン名に割り当てるインターネット上の規格のことを指し、この役割を担うサーバのことをDNSサーバと呼びます。つまり、DNSとは、「人間が判読しやすいホスト名」を「コンピュータ向けの数字だけのアドレス」に参照させる「電話帳」ようなのものだといえます。

なお、インターネットを利用しているほとんどのユーザは、契約しているインターネット・サービス・プロバイダ(ISP)運用のDNSサーバをそのまま自動的に使用していますが、ISP運用DNSサーバの速度が遅かったり不安定であったりなど、何らかの理由で別のサードパーティのDNSサーバをユーザが選択しているケースもあります。

DNSチェンジャーとはどのようなマルウェアですか?

「DNSチェンジャー」とは、感染したコンピュータのDNS設定をユーザに気づかれず勝手に変更してしまうトロイの木馬型マルウェアのことです。この変更が施されると、感染したコンピュータは、サイバー犯罪者が設置した別のDNSサーバを使用させられることになります。このため、感染したコンピュータのユーザが特定のWebサイトにアクセスしようとしても、別の不正なWebサイトに誘導されることになります。

DNSチェンジャーと呼ばれるマルウェアは、どのような不正活動を行いますか?

このマルウェアは、通常、「TDSS」や「KOOBFACE」などの他のマルウェアにより作成されることでコンピュータに侵入します。インストールされると、このマルウェアは、侵入したコンピュータのDNS設定を密かに変更します。これにより、サイバー犯罪者の狙いどおり、感染したコンピュータのユーザは、本来の接続業者であるインターネット・サービス・プロバイダ(ISP)運用のDNSサーバではなく、(サイバー犯罪者が設置した)別のDNSサーバを使用させられ、特定のドメインは別の不正なIPアドレスを解決することになります。

DNS設定を変更させることで、サイバー犯罪者たちは、以下のような不正活動を行うことが可能になります。

  • ユーザを不正サイトへ誘導する:誘導される不正サイトは、通常、有名なWebサイトになりすましたフィッシングページなどであり、本物のサイトと思い込んだユーザに個人情報等を入力させます。例えば、「iTunes」のサイトを閲覧したいユーザを気づかないうちに偽装サイトへ誘導し、そこで入力される個人情報を収集するといったケースです。 
  • 正規サイトの広告を置き換える:感染したコンピュータで特定の正規サイトを閲覧した場合、感染していないコンピュータで閲覧した際とは異なる別の広告を表示させることができます。
  • ネットワーク上のトラフィックを誘導・操作する:これにより、感染したコンピュータのユーザは、オペレーティングシステム(OS)やその他のソフトウェアに関する重要な更新情報をMicrosoftサイトやセキュリティベンダのサイト等からダウンロードできなくなってしまいます。
  • 他のマルウェアを感染させる:感染したコンピュータは、上記のような不正活動の影響もあり、偽セキュリティソフト関連の「FAKEAV」など、他のマルウェアを感染させやすい状態となっています。

サイバー犯罪者たちは、DNSチェンジャーの感染拡大からどのように利益を得ることができますか?

「地獄の沙汰も金次第」など、何事も金儲けが絡めば世界中の誰もが目の色を変えてしまうという状況は、特にサイバー犯罪の世界では顕著であり、もちろん、DNSチェンジャーが絡んた金儲けの喧騒も、この点では例外ではないようです。

DNSチェンジャーの作成者がどのようにして利益を得ることができるかという点については、いわゆる「Rove Digitalに関する刑事事件」の文書において詳細が明らかにされています。米国での正式な起訴状によると、(正規のIT企業を装っていた)犯罪者グループのRove Digitalは、主にクライアントとの広告契約により利益を得ていたようです。この場合、特定のサイトに広告を表示(置き換え)させる業務や、そうした広告のクリック数から請求するかたちのビジネスモデルでした。また、同起訴状によると、彼らのビジネスモデルは、こういった広告契約詐欺だけでなく、検索結果のハイジャックなどに及んでいたといいます。

サイバー犯罪者たちは、DNSチェンジャーの感染拡大により、以下のような手口を利用することができます。

  • 検索結果のハイジャック:DNSチェンジャーに感染した場合、感染したコンピュータで検索エンジンを使用しても、ユーザは、一見すると別に何も違和感は感じることはないでしょう。しかし実際、検索結果に表示されるリンクや検索結果ページ上の広告表示やスポンサード・リンクをクリックしても、それらはハイジャックされているため、本来閲覧できる正規サイトではなく、別の偽サイトや不正サイト等へ誘導されることになります。 
  • Webサイト上の広告の置き換え:感染したコンピュータでNYTimes.comやAmazon.com等の有名なサイトを閲覧した場合、それらのサイト上には、本来表示される広告とは別の広告が表示されます。サイバー犯罪者たちは、こうした手口により、広告の表示回数やクリック数に基づいた収益を得ることになります。このため、本来の正規広告は表示されず、本来のサイト運営者も、正規広告からの表示回数やクリック数から何の収益を得ることもできません。なお、特にこれがRove Digitalにより駆使された手口としても知られています。
  • 「FAKEAV」関連のマルウェアの拡散:上記の手口を駆使すると、さらに「FAKEAV」などの偽セキュリティソフト関連のマルウェアに感染させることも可能です。「FAKEAV」は、コンピュータ上に偽の感染警告を表示させてユーザを不安にさせた上で、偽のセキュリティソフトの購入を促すという手口でよく知られています。また、偽の感染警告だけでなく、偽のスキャン結果等を表示させる手法もあり、この場合、さらに巧妙にユーザの心理を突いて購入を迫ることが可能になります。

この脅威は、なぜユーザにとって要注意なのでしょうか。

DNSチェンジャーは、ユーザに対して以下のような多くの問題をもたらすため、十分に注意すべきマルウェアの脅威だといえます。

  • ネットワーク上のトラフィックがコントロール不能となる:DNSチェンジャーに感染すると、ユーザは、サイバー犯罪者たちが意図するサイトへと勝手に誘導させられることなります。このため、DNSチェンジャーは、フィッシングやファーミングといった手口で駆使できる効果的なツールとも見なされています。ユーザが正しいURLを注意深く手打ちで入力しても、(変換されるIPアドレスが異なっているため)ユーザは、全く別の偽装サイトや不正サイトへ誘導されてしまいます。
  • 情報漏えいの被害に見舞われる:サイバー犯罪者たちは、DNSチェンジャーを利用して誘導先のフィッシングサイト等でユーザに個人情報を入力させるといった手法も可能であり、このため、ユーザは、情報漏えいの被害に見舞われることなります。
  • 接続された他のコンピュータにも感染する:DNSチェンジャーの中には、ルーターのDNS設定を変更する際、片っ端から攻撃を仕掛ける「ブルート・フォース攻撃」の手法を用いるマルウェアもあります。この場合、感染したルーターに接続された全てのコンピュータが感染してしまうことなります。また、中には、特定のネットワーク上に偽の「Dynamic Host Configuration Protocol(DHCP)」を設置するという手法を用いるマルウェアもあります。この場合も同じような被害に見舞われてしまいます。
  • セキュリティ関連の更新が無効になってしまう:DNSチェンジャーは、インストールされているセキュリティソフトがセキュリティベンダーのサイトにアクセスして実施する更新作業を妨げる場合もあり、このため、感染したコンピュータは、さらに別のマルウェアに感染しやすくなる危険性にさらされます。こうした理由から、一度DNSチェンジャーに感染したコンピュータは、より深刻な被害をもたらすサイバー犯罪活動の標的にもされてしまいます。
  • ルートキット感染にさらされる危険性がある:DNSチェンジャーは、感染してもユーザに気づかれないようにコンピュータに留まり続け、さらにルートキット機能を備えている場合もあります。この理由から、DNSチェンジャーの検出と削除がより困難なものとなっています。また、こうした自己を隠蔽させる意図から、感染したコンピュータのDNS設定を常に変更し続けることで、途切れることなく不正なDNSサーバに誘導させるといった措置も用いています。

DNSチェンジャーに感染したコンピュータの中でも、特に上述の(正規IT企業を装っていた)サイバー犯罪グループRove Digitalにより拡散されたマルウェアに感染したコンピュータのユーザの場合、より深刻な被害に見舞われる可能性があります。2012年7月9日にRove Digitalが使用していたDNSサーバがついに閉鎖されることになるため、感染したままで変更されたDNS設定をリセットせず放置した状態のコンピュータは、閉鎖期日後、インターネット接続を使用できなくなってしまうからです。

DNSチェンジャーは、Macコンピュータにも感染するという点も留意しておくべきでしょう。MacコンピュータのOS X向けに作成されたマルウェアも、同様に、感染したコンピュータのDNS設定を変更し、ユーザを偽サイトや不正サイトへ誘導するため、注意が必要です。

感染したコンピュータのユーザは、どのようにしてDNSチェンジャーを取り除くことができますか。

感染したコンピュータのユーザは、ご使用のセキュリティソフトでDNSチェンジャーを削除した後、さらに以下の手順に従い、手動でDNS設定のリセットを行う必要があります。

Windows OSの場合

  1.  外付けのポータブル・ハードディスクに全ての重要なファイルのバックアップを取ってください。 
  2. Trend Micro House Call」などのマルウェア検出ツールでコンピュータをスキャンし、ご使用のセキュリティソフトによりDNSチェンジャーの削除を完了してください。
  3. DNS設定のリセット:Windows 7 をご使用の場合は、画面右下の「スタート」ボタンもしくはWindowsアイコンをクリックし、「プログラムとファイルの検索」の欄に「cmd」と入力の上、Enterキーを押してください。Windows XPをご使用の場合は、「ファイル名を指定して実行」の欄に「cmd」と入力して、Enterキーを押してください。
  4. コマンドプロンプトのウインドウ(黒の背景に白字の画面)が表示されますので、そこに「ipconfig/flushdns」と入力して、Enterキーを押してください。
  5. 「Successfully flushed the DNS Resolver Cache」というメッセージが表示されるはずです。これでご使用のコンピュータ本体でのリセット作業は完了です。
  6. 次に、ご使用のルーターについて、DNS設定がご利用のISPが指定した設定を自動的に利用する設定になっているかも確認してください。ルーターの設定確認については、ご利用のISPからのサポートが必要になる場合もあります。
  7. なお、DNS設定の変更は、DNSチェンジャーが行う不正活動の1つに過ぎません。コンピュータ上で使用したアプリケーションやWebブラウザに保存されていた口座情報やクレジットカード情報等に関しては、必ずご利用の銀行やクレジットカード会社に問い合わせて不審な請求や取引が行なわれていないか確認してください。また、オンライン口座で使用するパスワードの変更も必ず忘れずに行なってください。

Mac OS Xの場合  

  1. 外付けのポータブル・ハードディスクに全ての重要なファイルのバックアップを取ってください。
  2. ご使用のセキュリティソフトを利用して、コンピュータをスキャンの上、DNSチェンジャーの削除を完了してください。
  3. 手動でDNS設定を変更する場合、まず画面左上のAppleのアイコンをクリックし、ドロップダウン表示されたメニューから「システム環境設定」を選択してください。
  4. 「システム環境設定」のパネル上から「ネットワーク」のアイコンをクリックしてください。
  5. 「ネットワーク」のアイコンをクリックした後、「詳細」をクリックしてください。
  6. ネットワークの詳細設定画面内の「DNS」タブを選択すると、DNS設定画面に切り替わります。その設定画面下にある全ての入力項目を削除してください。これにより、ご使用のコンピュータのDNSは、初期設定に戻されます。
  7. 次に、ご使用のルーターについて、DNS設定がご利用のISPが指定した設定を自動的に利用する設定になっているかも確認してください。ルーターの設定確認ついては、ご利用のISPからのサポートが必要になる場合もあります。
  8. なお、DNS設定の変更は、DNSチェンジャーが行う不正活動の1つに過ぎません。コンピュータ上で使用したアプリケーションやWebブラウザに保存されていた口座情報やクレジットカード情報等に関しては、必ずご利用の銀行やクレジットカード会社に問い合わせて不審な請求や取引が行なわれていないか確認してください。また、オンライン口座で使用するパスワードの変更も必ず忘れずに行なってください。

トレンドマイクロ製品は、DNSチェンジャーによる脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」を実装した「ウイルスバスター2012クラウド」(「ウイルスバスター for Mac」 は「クラウド技術」のうちWebレピュテーションのみ実装)や、「ウイルスバスター™ ビジネスセキュリティ」、「ウイルスバスター™ コーポレートエディション10.6」等は、DNSチェンジャーおよび他の脅威から、ユーザのコンピュータと個人情報を守ります。

トレンドマイクロの専門家からのコメント:

DNSチェンジャーに感染したコンピュータのボットネットを活用した金儲けのため、サイバー犯罪者たちは、様々な方法を駆使しており、その中には、検索結果のハイジャックや、正規サイト上の広告の置き換え、他のマルウェアの感染といった方法も含まれています。そうした中、トレンドマイクロでは、Rove Digitalが使用していたC&Cサーバやバックエンド・インフラ等を早い段階で特定し、2011年11月8日の大規模摘発まで監視を続けることができました。むろん、この摘発におけるボットネット閉鎖に際しては、感染したお客様側での不便を最小限に留めるための他の業界の人々からの素晴らしい協力と連携も特筆すべきことだったといえるでしょう。 

 - シニア・スレット・リサーチャー:Feike Hacquebord