セキュリティ組織のJPCERTコーディネーションセンター（JPCERT／CC）は2012年3月6日、パソコンのDNS設定を変更するウイルス（マルウエア）について注意を呼びかけた。このウイルスに感染しているパソコンは、2012年3月9日以降、インターネットに接続できなくなる。

　DNS設定を変更するウイルスは「DNS Changer」などと呼ばれる。Windowsで動作するウイルスに加え、Macで動作するウイルスも出現している。

　このウイルスに感染すると、パソコンのDNS設定を変更され、攻撃者が用意するDNSサーバーを参照させられる。これにより、知らないうちに悪質サイトに誘導されたり、攻撃者が意図したコンテンツをWebブラウザーに表示されたりする恐れなどがある。

　DNS Changer対策のワーキンググループである「DCWG（DNS Changer Working Group）」によると、2012年1月末時点でおよそ45万台のパソコンがDNS Changerに感染しているという（図1）。これは全世界での数字だが、JPCERT／CCでは、国内でも相当数のパソコンが感染しているだろうとしている。

　現在では、DNS Changerに感染しているパソコンでも、悪質なDNSサーバーを参照させられることはない。2011年11月、米国連邦捜査局（FBI）が悪質なDNSサーバーを差し押さえ、正常なDNSサーバーに置き換えたからだ。このため、感染パソコンであっても正常にネットにアクセスできる状況になっている。

　しかしながら、間もなく別の問題が発生する。DNSサーバーの置き換えは一時的な対応であり、置き換えたDNSサーバーは2012年3月9日（日本時間）に停止する予定となっているためだ。このDNSサーバーが停止すると、感染パソコンでは名前解決ができなくなり、Webサイトやメールサーバーなどにアクセスできなくなる。

　そこでJPCERT／CCでは注意を呼びかけるとともに、DNS Changerに感染しているかどうかの確認方法や、感染している場合の対処法などを公表した。

　感染の有無を確認する方法の一つは、DNSの設定情報を確認すること。パソコンのDNS設定が特定のIPアドレスになっている場合には、DNS Changerに変更された可能性が高い。

　具体的な確認手順は、JPCERT／CCの情報に記載されている。例えばWindowsでは、コマンドプロンプトで「ipconfig /all」と入力して実行し、「DNS Servers」または「DNSサーバー」で始まる行に表示されたIPアドレスを調べる。

　そのIPアドレスが以下に範囲に該当する場合、DNS Changerに感染している可能性がある。

　85.255.112.0～85.255.127.255

　67.210.0.0～67.210.15.255

　93.188.160.0～93.188.167.255

　77.67.83.0～77.67.83.255

　213.109.64.0～213.109.79.255

　64.28.176.0～64.28.191.255

　感染している可能性が高い場合には、パソコンをインターネットから切り離し、ウイルス対策ソフトなどでDNS Changerを確実に駆除した後、正規のDNSサーバーを設定する。対策の詳細についても、JPCERT／CCの情報に記載されている。

（日経パソコン　勝村幸博）

[PC Online 2012年３月６日掲載]