ほかのパソコンに偽の設定情報を送信、攻撃者のDNSサーバーを参照させる

PR





米国のセキュリティ企業や組織は2008年12月4日、新たなウイルス（悪質なプログラム）を確認したとして注意を呼びかけた。特徴はDHCPサーバー機能を持つこと。同じLANに存在する別のパソコンに、偽の設定情報を送信。攻撃者のDNSサーバーを参照させるようにして、フィッシング詐欺サイトなどへ誘導する。ウイルスに感染していないパソコンや脆弱（ぜいじゃく）性のないパソコンにも被害を与える点が脅威。

感染したパソコンの「hostsファイルを改ざんする」「DNSサーバーの設定を変更して、攻撃者のDNSサーバーを参照させる」といった方法で、ユーザーを悪質なサイトへ誘導するウイルスは、今までに多数出現している。こういった手口は「ファーミング（ファーミング詐欺）」などとも呼ばれる。

この手口の“巧みな”ところは、正規のURLを、悪質サイトのIPアドレスに関連付けること。これにより、Webブラウザーに正規のURLを入力しているにもかかわらず、フィッシング詐欺サイトなどに誘導されてしまう。

DNSサーバーの設定を変更するようなウイルスは「DNSChanger」などと呼ばれ、ここ最近、相次いで出現。Windowsで動作するものだけではなく、Mac OSで動作するものも複数確認されている。

今回出現したウイルスも“原理的”には同じ。異なるのは、ウイルスに感染したパソコンではなく、同じネットワークに存在する非感染パソコンに被害を与える点。

今回のウイルスは、感染すると、そのパソコン上でDHCPサーバーを動作させるとともに、ネットワークを流れるデータを監視する。そして、別のパソコンが正規のDHCPサーバーに対して送信した問い合わせパケットを見つけると、その問い合わせに対して偽の応答を送信する。

偽の応答には、攻撃者のDNSサーバーを参照させるような設定情報が含まれる。このため、この応答を受け取ったパソコンは、攻撃者の意のままに、悪質サイトに誘導される恐れがある。

米サンズ・インスティチュートのスタッフは、ウイルスはまだ“洗練”されていないものの、手口は“興味深い”とコメント。前述のように、ウイルスに感染していないパソコンが被害に遭うため、原因を特定することが難しいという。

米マカフィーでは、今回のウイルスについては、公共の無線LAN環境などで被害に遭うシナリオが考えられるとコメント。1台の感染パソコンが、多数のパソコンに影響を与えるウイルスではあるが、現時点では広くは出回っていないようだとしている。