便利な公衆無線LAN、犯罪者が狙うのはココ！：半径300メートルのIT（1/2 ページ）

ネットの脅威は巧妙になる一方で、どんどん判別するのが難しくなっています。次々と出てくる新たな攻撃をかわす方法はあるのでしょうか。

[宮田健，ITmedia]

　カスペルスキーのブログに、気になる記事が出ていました。Androidで新たなマルウェア、「Switcher」が発見されたというのです。

　Androidのマルウェアというと、データを抜き出すものや、ランサムウェアとして身代金を要求したりするものが思い浮かぶかもしれません。しかし、このSwitcherは“インターネットを使う上で大事なもの”を「スイッチ」してしまう脅威なのです。一体、何がスイッチされるのでしょうか？

狙われるDNS、狙われる公衆無線LAN

　このSwitcherは、感染すると自分がつながっている「無線LANルーター」を攻撃し、インターネットを構成する「DNS」という仕組みを、悪意あるDNSにスイッチしてしまいます。つまり、“Androidを踏み台にして、ルーターを狙うという仕組み”を使っているわけですが、そもそも、このDNSって何なのでしょう。

　DNSは、皆さんがWebブラウザに入力する「www.example.com」という分かりやすい文字列を、スマートフォンやPCに1台ずつ個別に割り当てられた「203.0.113.1」といったIPアドレスに変換するサービスです。

　皆さんがインターネットを楽しむときに必ず利用する、とても重要なサーバであり、家庭用のルーターはインターネットサービスプロバイダーからIPアドレスを割り振られると同時に、自動でDNSサーバのIPアドレスも指定されます。

ルーターの設定を見ると、IPアドレスのほかに「DNSサーバアドレス」が割り当てられているのが分かります

　このDNSのIPアドレスは、インターネットサービスプロバイダーが指定するもの以外を設定することも可能ですが、もし、そのDNSを悪意ある者が運営していたら大変なことになります。例えば、「www.itmedia.co.jp」と入力したとしても、本来あるべきIPアドレスではなく、ニセモノのWebサイトのIPアドレスが帰ってくる可能性があるわけです。これこそが、「Switcher」の狙い。Switcherはルーターの設定を変更し、DNSをハイジャックするのです。カスペルスキーのブログによるとSwitcherの開発者は、公共Wi-Fiパスワード検索アプリに偽装したアプリを開発していたといい、狙いは「公衆無線LAN」だったのかもしれません。

　この攻撃が恐ろしいのは、一度ルーターのDNSがハイジャックされてしまったら、異変に気付くのが難しい点です。しかも、公衆無線LANならばTwitterやFacebook、Gmailなどの特定のサービスを狙い撃ちし、ニセモノのWebサイトにつながるようにしておけば成功率も高いと考えられます。そういう意味では、とても興味深い攻撃方法であると感じました。