● DNS Changer(TDSS)の仕組み(カスペルスキーの注意喚起ページより画像転載)
『
NICHIGO PRESS 2012年7月6日
http://nichigopress.jp/ausnews/world/39989/
「感染PCは7月9日からインターネット接続不可に」
米FBIがサポートしてきたインターネット接続を打ち切り
昨年11月8日、米FBI、NASA-OIG、エストニア警察が、「ゴースト・クリック作戦」で、数人のサイバー犯罪グループを逮捕した。
このグループは「Rove Digital」という企業名を隠れ蓑にして、TDSS、Alureon、TidServ、TDL4などの名で呼ばれるDNS変更ウィルスを配布した。
このDNS変更ウィルスはマルウエアと呼ばれる種類のウィルス・ソフトウエアで、一般ユーザーのコンピュータに感染すると、コンピュータがインターネットに接続する際のDNS(サーバー)のアドレスを書き替え、被害者のコンピュータをエストニア、ニューヨーク、シカゴのデータ・センターの犯罪組織側のDNSに接続させ、偽の悪質な回答を返したり、ユーザー検索を変更したり、偽商品、危険な商品を宣伝するなどの工作を行う。
本来、この犯罪組織側のDNSを閉じてしまうはずだったがそうすると感染してDNSを変更されている被害ユーザーのコンピュータがインターネット・アクセス不能に陥る。
そのため、法廷命令により、Internet Systems Consortiumが、感染コンピュータのDNS代替サーバーを運営、自分のコンピュータが汚染されていることを知らない被害ユーザーが滞りなくインターネットにアクセスできるよう計らってきた。
しかし、その運営期限がこの7月9日(月曜日)に満了し、代替サーバーの電源が切られることになっている。
これまでもフェースブック、グーグル、インターネット・サービス・プロバイダーなどが一般利用者に警告してきた。
また、FBIも第二のウェブサイトを立ち上げるなどしてきた。
FBIの推定によると、全世界で感染しているコンピュータは277,000台にのぼり、オーストラリア国内では通信監督機関ACMAの推定によると、6月14日現在で約6,000台がまだ感染したままとしている。
ACMAその他の豪政府機関などが協力して立ち上げたウェブサイトでは、ユーザーがアクセスして感染しているかどうかを確認することができる。
7月9日になると、感染しているコンピュータはインターネットにアクセスできなくなり、ISPに電話連絡するなどした上でDNS変更マルウエアを駆除し、インターネットに接続しなければならなくなる。自分のコンピュータが感染しているかどうかを知るには、通常のブラウザーで、「dns-ok.gov.au」をURLに挿入すればオーストラリア政府のウェブサイトに行く、または、FBIが導入したdcwg.org(これはブラウザーのURLに挿入するのではなく、検索エンジンで検索し、表示されたdcwg.orgにアクセスすればいい)にアクセスして短時間で結果が出る(訳注:いずれも当記事の訳者が確認済み)。
FBIのこのような「親切な」措置は過去に前例がないが、FBIでは、同様なタイプの犯罪を他にも追及しており、再び同じような措置を取る可能性があるとしている。(NP)
』
『
CNNニュース 2012.07.07 Sat posted at: 09:55 JST
http://www.cnn.co.jp/tech/30007256.html
7月9日から数十万人がネット接続不能になる恐れ
「DNS Changer」感染
ニューヨーク(CNNMoney) 「DNS Changer」と呼ばれるマルウェアに感染したパソコンのユーザー数十万人が、7月9日以降にインターネットにアクセスできなくなる。
米連邦捜査局(FBI)は9日、このマルウェアに感染したパソコンのユーザーを支援するために暫定的に設置したDNSサーバの運用を停止する。
しかし、このサーバが停止すると、まだ感染しているパソコンはインターネットへの接続が不可能になる。
このマルウェアは、感染したパソコンのユーザーが行ったウェブ検索を悪意ある広告付きのなりすましサイトにリダイレクトするというもの。
過去5年間の感染者数は、全世界で約400万人に上る。
6人のエストニア人で構成されるサイバー犯罪グループは、このマルウェアを使った違法広告で1400万ドル(約11億円)の利益を上げたという。
昨年11月、FBIなどがこの犯罪グループを逮捕し、不正なDNSサーバも押収した。
しかし、この不正なサーバをすぐに停止すると、感染したコンピュータのネット接続が不可能になる。
そこでFBIは、被害を受けたユーザーにマルウェアを除去する時間を与えるため、非営利組織のインターネットシステムズコンソーシアム(ISC)に暫定的な代替DNSサーバの設置を依頼した。
当初、この暫定サーバは今年3月に運用が停止される予定だったが、まだ数十万台のコンピュータが感染していたため、FBIは停止を7月まで延期していた。
フェイスブックやグーグルは、感染していると見られる機器のユーザーへの警告メッセージを表示し、マルウェアの除去を支援するリンクを提供している。
』
『
INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20120706_545410.html
7月9日でネット利用不能になる恐れも、
「DNS Changer」感染有無の確認を
7月9日が目前に迫ったことを受け、マルウェア「DNS Changer」に感染していないかチェックするよう、セキュリティソフトベンダーなどがあらためて呼び掛かけている。
このマルウェアに感染したまま気が付かずにいると、同日以降、インターネット利用が不能になる“ブラックアウト”状態になってしまうためだ。
DNS Changerは、感染したPCの設定を、不正に構築されたDNSサーバーを参照するよう書き換えるマルウェアだ。
その結果、正規のサイトへ接続しようとして、全く異なる不正なサイトに誘導されてしまう被害に遭う。
これを運用していた犯罪グループはすでに昨年11月にFBIなどに摘発され、参照先となっていた不正なDNSサーバーも押さえられた。
しかし、即座にこのDNSサーバーを停止してしまうと、感染していた膨大な台数のPCが急にインターネットを利用できなくなってしまう。
そこでFBIでは、これをクリーンなものに置き換え、暫定的に運用していくことを決めた。
今回、そのDNSサーバーの運用期限である7月9日が目前に迫っているわけだ(なお、当初は運用期限が3月8日とされていたのが、延長された経緯がある)。
専門家らで構成するDCWG(DNS Changer Working Group)によると、このDNSサーバーを参照しているIPアドレスは、6月11日時点で世界にまだ30万件以上存在。
6月13日時点の国別リストでは、日本にも5867件あることが報告されており、DNS Changerに感染したPCが国内にも残っていることがわかる。
DNS Changerの感染チェックツールは、数カ月前より各社から提供されている。
最も簡単に利用できるものとしては、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が「DNS Changerマルウエア感染確認サイト」を公開している。
ウェブブラブラウザーから同サイトにアクセスするだけで、感染の可能性の有無を判定・表示する。
●「DNS Changerマルウエア感染確認サイト」で「感染の可能性あり」と判定された場合の表示
Googleは5月下旬より、DNS Changerに感染しているPCに対する警告メッセージの表示を開始している。Google検索にアクセスしてきたPCが感染している可能性がある場合、検索結果ページ最上段に警告が表示されるという。
●Google検索での警告メッセージ(Google Online Security Blogより画像転載)
マカフィーの「SiteAdvisor」では7月5日、感染の有無を診断するとともに、DNS設定を修復するツールの無償提供を開始した。診断サイトにアクセスしてボタンをクリックすることで簡単にチェックでき、感染していた場合には、設定を修復する無料のソリューションをダウンロードするよう促すという。
このほかカスペルスキーでは、DNS Changerの感染を検知・駆除するための無償ソフト「Kaspersky TDSSKiller」をダウンロード提供している。
』
『
ロケットニュース24 2012年7月9日
http://rocketnews24.com/2012/07/09/228718/
【再確認】マルウェア「DNS Changer」に感染している人は今日7月9日からネット接続不能
/ 確認サイトで今すぐチェックを!!
以前の記事でもご紹介したのだが、本日2012年7月9日から世界中の数十万人がインターネット接続できなくなるという。
どのようなユーザーがネット接続できなくなるのかというと、世界中で猛威をふるったマルウェア「DNS Changer」に感染したPCを使用している人たちだ。
「DNS Changer」に感染したPCで検索すると、悪意のある広告付きのサイトへ飛ばされるなどの悪さをするという。
感染者数は全世界で数十万人以上ともいわれている。
あらためて確認サイトでPCの状況をたしかまえることを強くおすすめする。
「DNS Changer」を作成したグループは、すでにFBIによって逮捕されている。
同時に悪意を働くためのDNSサーバーも押収したが、そのサーバーを停止するとDNS Changer感染者がネット接続できなくなるため、正常に動作するようにDNSサーバーを書き換えて運用していた。
しかし、その代替サーバーの運用期間は本日7月9日まで。
サーバーが停止すると、いまだ「DNS Changer」に感染しているPCのユーザーはネット接続できなくなるのである。
現在FBIをはじめ、アンチウイルスソフトウェア会社などのサイトでも、無料の「DNS Changer」感染確認ツールが公開されている。
一瞬で終わるので、感染しているかどうかチェックしてみると良いだろう。
もしも感染していたら、まもなくネットができなくなる。早急に対策を行なおう。
参照元:DNS Changer マルウエア感染確認サイト、マカフィー DNS Changer確認ページ(英語)
』
_
