DNS 設定を書き換えるマルウエアの問題

緊急性がある問題なのでブログアップします。

不正DNSの停止によるPCの影響

パソコンのDNS設定を書き換えるマルウェア（DNS Changer）に感染したPCは、現在でも世界中に数十万台といわれてますが、日本国内でも相当数のPCが感染されているとの情報があります。

昨年11月頃に米国連邦捜査局 (FBI)により、不正な DNS サーバが差し
押さえられ、正常な DNS サーバに置き換えられています。しかし、この DNS
サーバの運用は 2012年3月9日(日本時間)に停止する計画となっているため、
DNS Changer に感染したままの PC は、2012年3月9日(日本時間) 以降、Web
サイトの閲覧やメールの送信などができなくなる可能性があります。

問題があるDNSを参照しているか確認

以下の手順を参考に、PCの設定で不正DNSを参照しているか確認

1. コマンドプロンプト（DOSウィンドウを起動）
2. コマンドでDNS参照先を確認 「ipconfig /all」
3. DNSサーバのIPアドレスに以下のIPアドレスが含まれているか確認
   (不正な DNS サーバの IP アドレスレンジ)
   85.255.112.0 – 85.255.127.255
   67.210.0.0 – 67.210.15.255
   93.188.160.0 – 93.188.167.255
   77.67.83.0 – 77.67.83.255
   213.109.64.0 – 213.109.79.255
   64.28.176.0 – 64.28.191.255
4. DNSサーバのIPアドレスに上記が含まれていた場合、PCが DNS Changerに感染していた疑いがあります。別途対策が必要と考えられます。

なおこのDNS Changerに感染しているパソコンは、単純に参照DNSの変更だけでは対処にならず、適切なマルウェア対処が必要と考えています。

再度繰り替えしますが、FBIの差し押さえた不正DNSサーバが、2012年3月8日（日本時間3月9日）に強制停止しますので、DNS Changer に感染しているPCは、インターネットアクセスができなくなる可能性があります。

関連したページ

• DNS サーバ BINDの脆弱性
• BIND DNSサーバのセキュリティ・ホール