「DNSChanger」問題でDNSサーバの暫定運用が終了、残る感染マシンは21万台以上か

DNS Changer Working Groupによれば、7月8日時点でもマルウェア「DNSChanger」に感染したとみられるIPアドレスが21万件以上見つかっている。

[國谷武史，ITmedia]

　DNS設定を書き換えるマルウェア「DNSChanger」に感染したコンピュータへの対応をめぐり、米連邦捜査局（FBI）らによる対策組織DNS Changer Working Group（DCWG）が暫定的に行ってきたDNSサーバの運用が7月9日（米国時間）に終了した。感染状態にあるコンピュータは、インターネットに接続できなくなったとみられる。

　DNSChangerは2011年に世界中で数百万台のコンピュータに感染を拡大。FBIが2011年11月に犯行グループを検挙するとともに、犯行に使われていた不正なDNSサーバを押収して100台以上のサーバで構成されていたマルウェア制御用のインフラをダウンさせたという。だが、そのままではDNSChangerに感染したユーザーがインターネットに接続できなくなってしまうことから、DCWGが不正なサーバをクリーンなサーバに入れ替えて暫定的に運用していた。

　暫定運用は3月8日で終了する予定だったが、米政府の要請を受けて7月9日まで延長する措置を取っていた。FBIは7月6日付のブログでサイバー犯罪担当者のコメントとして、この措置を9日以降も継続する考えは無いとしている。

DNS Changer Working GroupのWebサイトにアクセスしてこの画像が表示されれば、DNSChangerに感染していない可能性が高い

　DCWGによれば、7月8日現在でDNSChangerに感染しているみられるコンピュータのIPアドレスが21万851件になるという。国別で最も多いのは米国の4万1557件で、日本も5522件が見つかっている。

　SANS Internet Storm Centerは9日付のブログで、9日以降もDNSChangerの影響を受けた一部のシステムやルータが残ったままになるとコメント。DNSChangerを駆除してもDNSの設定を復旧していない場合もインターネットに接続できなくなる可能性がある。

　DNSChangerでは主要国のサイバーセキュリティ当局やセキュリティベンダーが、感染の検査や駆除手段を提供してきた。GoogleやFacebookは感染が疑われるユーザーに警告を発する措置を取っていた。

　SANSでは「世界の約20億人のネット人口に占める感染率は約0.01％で、見方によっては非常に少ないともいえ、感染状態にあるユーザーはこれまでに発せられたさまざまな警告を無視しているのかもしれない。Googleの警告を見ていないなら感染の心配は無用」と言及している。