典型的なファーミングでは、PCに存在する脆弱性を突いたり、添付ファイルをクリックさせたりしてマルウェア(トロイの木馬)を実行させ、DNS情報を書き変えます。もし手元にWindows PCがあれば、システムフォルダの下に「hosts」というファイルがあると思います。これはIPアドレスとドメイン名をひも付ける情報を記したもので、DNSサーバによる名前解決よりも優先される仕組みです。2005年ごろからPCの世界で広がったファーミングでは、マルウェアがこのファイルの情報を変更し、ユーザーを偽のサイトに誘導するケースが散見されました。
そして、ファーミングが登場してからそれほど時を置かずに、ルーターのDNS設定を書き変え、悪意あるサイトに誘導する手法も生まれていました。「ドライブバイ・ファーミング」と呼ばれ、ユーザーに悪意あるスクリプトを実行させることでルーターのDNS情報を書き変えるという手口です。15年にはトレンドマイクロが「DNSチェンジャー」、17年にはカスペルスキーが「Switcher」というトロイの木馬について注意喚起しています。いずれも、感染したPCやAndroid端末が、内側からルーターに不正アクセスし、不正なDNSサーバに問い合わせを行うよう設定を書き換える手口です。
こうしてDNS情報を書き変えたり、悪意あるDNSサーバに誘導できる状態を作ってしまえば、あとは攻撃者の意図次第。誘導先のサイトを介して不正送金など他のマルウェアに感染させたり、フィッシングサイトを用意してアカウント情報を盗み取ったりと、さまざまな悪用方法が考えられます。今回の攻撃のように正規ソフトウェアのアップデートを装ってマルウェアに感染させるサプライチェーン攻撃が行われるかもしれませんし、仮想通貨のマイニング(採掘)を行わせたりするかもしれません。
これらDNSを書き変える攻撃が厄介なのは、ユーザー側がなかなかそれと気付けないことです。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR