この記事は日経 xTECH有料会員限定ですが、2018年4月8日5時まではどなたでもご覧いただけます。

「OK」のクリックでウイルスのインストールが始まる

 今回の攻撃は、ドメイン名をIPアドレスに変換する名前解決の仕組み「DNS」を悪用する。

 DNSでは、DNSサーバーに名前解決を依頼すると、問い合わせ元にIPアドレスを応答するようになっている。攻撃者は、ルーターに設定されたDNSサーバーの情報を改ざん。ルーターの配下にあるパソコンやスマートフォンのDNSサーバーのIPアドレスを、攻撃者が用意した偽のDNSサーバーのIPアドレスに書き換えた。偽のDNSサーバーで名前解決を実行すると、ウイルスを配布するサーバーに誘導される。

攻撃に使われたDNSサーバーやウイルス配布サーバーのIPアドレス
(出所:NICT)
[画像のクリックで拡大表示]

 ウイルス配布サーバーにアクセスすると、画面にはOKボタンが付いたダイアログが表示される。「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」というメッセージが書かれている。ここでOKボタンをクリックすると、ウイルスがダウンロードされ、インストールが始まる。ここまでが、今回の攻撃の流れだ。

攻撃者が用意したサーバーに誘導されると表示されるダイアログ
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]