IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > DNS Changer - FBIによるDNSサーバの運用停止後の状況とまとめ

DNS Changer - FBIによるDNSサーバの運用停止後の状況とまとめ

以前のSecurity Diaryでお伝えした通り、FBIはDNS Changerで悪用されていたネットワークでのDNSの延長運用を行っていましたが、2012年7月9日13時1分(日本時間)をもって停止しました。

DCWG(DNS Changer Working Group)では最終結果がリリースされており、ユニークIPアドレス数の推移が記述されています。悪意のあるDNSサーバが停止された直後は80万台以上(2011年11月16日)が感染していましたが、最終的には21万台と、約4分の1程度まで減少しているのがみてとれます。また、7月8日時点での国別IPアドレス数では、日本は5522台でした。今回はインターネットへ事実上接続できなくなるユーザが大量に発生し、ユーザサポートなどへの影響が大きくなることが予想されました。しかし実際には現在までにIIJではコンシューマ向けサービスへの問い合わせなどは発生しておらず、日本のインターネット上でも大きな混乱はない模様です。これはFBIやDCWGの活動、国内ではJPCERT/CCTelecom-ISAC Japanの注意喚起などによる努力の結果といえるでしょう。またDCWGに関わっていたウイルス対策ベンダであるトレンドマイクロ社F-Secure社からまとめ記事がリリースされています。トレンドマイクロ社ではDNS Changerの犯罪組織に関する詳細や、DNS CHanger自体の解説、悪意のあるサーバを停止するまでの活動が詳細に記述されています。

今回の事件の最大の特徴は、感染者数もさることながら、感染端末上のDNSサーバの設定を書き換えるという手法でインターネットの利用に不可欠な仕組みを乗っとり、利用者に気付かれないように悪意のあるサーバに誘導し、実際に多くの金銭被害を出したことにあります。IIJでは今後も同様の攻撃が発生する可能性が高いと考えており、そのような事件に注目していきたいと思います。

-
 
カテゴリー :
セキュリティ事件  
タグ :
DNS   Malware  
この記事のURL :
https://sect.iij.ad.jp/d/2012/07/109834.html