DNS Changer – FBI による DNS サーバの運用停止後の状況とまとめ
以前の Security Diary でお伝えした通り、FBI は DNS Changer で悪用されていたネットワークでの DNS の延長運用を行っていましたが、2012年7月9日13時1分(日本時間)をもって停止しました。
DCWG (DNS Changer Working Group) では最終結果がリリースされており、ユニーク IP アドレス数の推移が記述されています。悪意のある DNS サーバが停止された直後は80万台以上(2011年11月16日)が感染していましたが、最終的には21万台と、約4分の1程度まで減少しているのがみてとれます。また、7月8日時点での国別 IP アドレス数では、日本は5522台でした。今回はインターネットへ事実上接続できなくなるユーザが大量に発生し、ユーザサポートなどへの影響が大きくなることが予想されました。しかし実際には現在までに IIJ ではコンシューマ向けサービスへの問い合わせなどは発生しておらず、日本のインターネット上でも大きな混乱はない模様です。これは FBI や DCWG の活動、国内では JPCERT/CC や Telecom-ISAC Japan の注意喚起などによる努力の結果といえるでしょう。また DCWG に関わっていたウイルス対策ベンダであるトレンドマイクロ社や F-Secure 社からまとめ記事がリリースされています。トレンドマイクロ社の記事には DNS Changer の犯罪組織に関する詳細や、DNS CHanger 自体の解説、悪意のあるサーバを停止するまでの活動が詳細に記述されています。
今回の事件の最大の特徴は、感染者数もさることながら、感染端末上の DNS サーバの設定を書き換えるという手法でインターネットの利用に不可欠な仕組みを乗っとり、利用者に気付かれないように悪意のあるサーバに誘導し、実際に多くの金銭被害を出したことにあります。IIJ では今後も同様の攻撃が発生する可能性が高いと考えており、そのような事件に注目していきたいと思います。