2012年6月18日月曜日

DNSChanger対策 臨時DNS サーバー、まもなく閉鎖へ: あなたのマシンは大丈夫?

  • このエントリーをはてなブックマークに追加
コンピュータに感染し不正な DNS サーバーを参照するように設定を変え、膨大な量のインターネット トラフィックを恣意的に誘導してきたマルウェアの一種「DNSChanger」が2011年末、米連邦捜査局 (FBI) によって封じ込められた。

ただし、それらの不正なサーバーを一気に閉鎖すると、いまだ数十万台にものぼる感染コンピュータもインターネットから遮断されてしまう。そうなればそれらのコンピュータはインターネット経由での救援が受けられない。

そこで FBI と インターネット システムズ コンソーシアム (ISC) はタッグを組み、不正サーバーを正常なものに置き換える暫定的な支援措置をとった。この措置によって感染コンピュータは接続を維持できているのだが、2012年7月9日でその臨時サーバーの運用が終了する予定のため、まもなくそれらのコンピュータはインターネットが利用できなくなる可能性がある。


これを受け Google 社は、コンピュータがこの臨時 DNS サーバーにアクセスしているかどうかを検知し、ユーザーに警告するサービスを開始した。Google の検索機能を使うと同時に検出プロセスがスタートし、臨時DNSサーバーが検知されれば、「マルウェアに感染している可能性があります」という趣旨のメッセージが表示される。

このメッセージを読んだユーザーの中には、マルウェアは駆除したはずなのに、と当惑する人もいるかもしれない。はたしてコンピュータが正常な状態に戻りきっていない、ということはありうるのか?

たとえばマルウェア駆除ツールを使っていれば、感染前の DNS 設定を間違いなく復元してくれるのだろうか?
それとも駆除ツールは、マルウェアを除去するだけで、閉鎖期限が迫る臨時サーバーにトラフィックが誘導され続けてしまう問題は手つかずのままなのか?


これを調べるには、ネットワーク インターフェイスの設定 (有線・無線を問わず) を表示して、DNS 設定を確認すればよい。オペレーティング システムによって違いがあるが、Windows 7 では、以下のように [プロパティ] タブを表示すると確認できる。

network_interface_settings1



次に、ダイアログ ボックスから IPv4のプロパティを選択する。

ipv4_properties



下のタブの赤丸で囲まれた箇所がDNS設定だ。

dns_settings



設定が、[IP アドレスを自動的に取得する] になっていれば、まず心配はない。これはDNSがルーター/スイッチ/アクセス ポイントのいずれかから、設定を取得していることを意味する。一方、[DNSサーバーのアドレスを自動的に取得する] がチェックされていたら、[優先 DNS サーバー] と [代替DNSサーバー] のエントリのアドレスをメモし、下のリストと見比べてほしい。

■77.67.83.1 – 77.67.83.254
■85.255.112.1 – 85.255.127.254
■67.210.0.1 – 67.210.15.254
■93.188.160.1 – 93.188.167.254
■213.109.64.1 – 213.109.79.254
■64.28.176.1 – 64.28.191.254

上記のリストの中に自分のアドレスと一致するものがなければ、問題ないはずだ。その他に、コマンド プロンプト (Windows 7では、スタートボタン -> [プログラムとファイルの検索] に 「cmd」と入力し Enterを押す) から、「nslookup」コマンドを使う方法もある(以下の例を参照)。

nslookup



赤丸で囲まれた DNS サーバーのアドレスは、192.168.x.x、 つまり、ノン・ルータブルなアドレスということになる。「x」に入る数字は変わることもあるが、192.168.x.x は、172.x.x.x や10.x.x.x とともに、 内部ネットワークでごく一般的に使われるアドレスであり、DNS サーバーがこれらのアドレスであれば正常だ。

そして最後の行の IP は、Google のウェブサイトのアドレスと解決されている。ためしにこの IP(この例では、173.194.79.106 だがアドレスは異なることもある) をブラウザに入力してほしい。「www.google.com」と表示されるはずだ。

一方 nslookup コマンドで表示されたIPアドレスが、リストのいずれかと一致した場合は問題があるので、コンピュータないしルーターを修復する必要がある。問題がルーターにある場合、影響はより広範囲に及ぶおそれがある。ネットワーク上のあらゆるコンピュータ (Wi-Fiが有効になったモバイル デバイスも含まれる) が、間もなく使えなくなる臨時サーバーを参照してしまうからだ。

これはローカル DNS がデバイスを本来すべきでないところに誘導しているせいなのだが、修復にはまだ間に合うので安心してほしい。それには、手順に従ってルーターまたはWi-Fiアクセスポイントの DNS を設定する必要がある。

そういった手順が分からず、デバイスのメーカーのウェブサイト等にも見当たらない場合は、「OpenDNS」の該当ページを参考にする手もある。このサイトは DNS 設定について豊富な情報を無料で提供している。(サイト登録しないと閲覧できない情報もある。ただし登録は無料で、筆者らの経験ではスパムが送られてきたこともない)

多少の手間がかかるが、先延ばしにするのはお勧めできない。2012年7月9日のサーバー閉鎖までに修復が終わらなければ、ネットワーク上のデバイスはインターネットに接続できなくなり、オンラインでの問題解決は難しくなる。




出典:blog.eset.com
ESETロゴ
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る