世界100カ国以上、感染コンピュータ400万台以上という史上稀に見るサイバー犯罪で悪用されたのは、インターネットを運営、利用するのに不可欠なDNSの仕組みである。技術的には「DNS Changer」と呼ぶ不正プログラムを使用した。Rove DigitalとEsthostはこれらの仕組みを巧みに利用して莫大な金銭的利益を不正に得た。

 DNSサーバーは、判読可能な文字列で構成するドメイン名を、インターネット上のコンピュータに割り振られているIPアドレスに変換する役割を担う(図1)。例えば、Webブラウザーを使って「www.trendmicro.com」と入力しWebサイトを閲覧する際にも、裏ではドメイン名からIPアドレスに自動的に変換している。

図1●DNSの仕組み
図1●DNSの仕組み

 ほとんどのインターネット利用者は、契約しているインターネット・サービス・プロバイダ(ISP)が設置して運営しているDNSサーバーを利用することになる。つまり、ISPが所有するDNSサーバーをインターネット利用時のアドレス参照先として利用することになる。

編注:具体的には、ドメイン名「www.trendmicro.com」と対応するIPアドレスをDNSサーバーがデータベースとして持つ。ブラウザーがドメイン名をDNSサーバーに送信すると、DNSサーバーはIPアドレスを返答する。その後、ブラウザーはIPアドレスを使ってWebサイトにアクセスする。

 今回のサイバー犯罪の中で構成されたボットネットは、DNS設定が別のIPアドレスに不正に変更されたコンピュータで構成されていた。DNS設定を不正に変更するトロイの木馬型の不正プログラム、いわゆる「DNS Changer」によってユーザーが気づかぬうちに改変されていたのだ。その結果、ユーザーはISPのDNSサーバーではなく、全く別のDNSサーバーを使わされる状態だった。

編注:「DNS設定」とはユーザーのコンピュータが利用するDNSサーバーの設定のこと。Windowsではコントロールパネルで設定する。DNSサーバーはIPアドレスで指定する。

 この別のDNSサーバーは、不正な第三者によって計画的に設置されたものである。特定のドメインが全く関係のない不正なIPアドレスに関連付けられるよう細工が施されている(図2)。DNS Changerに感染したユーザーは、本来意図していなかった不正なWebサイトに誘導されることになる。これらDNS Changerに感染したユーザーが構成するネットワークは、最終的には世界100カ国以上に400万台以上の感染コンピュータをもつ巨大なボットネットとして形成されたのである。

図2●不正プログラムにより改変されたDNS
図2●不正プログラムにより改変されたDNS

 このDNS設定を不正に変更する「DNS Changer」はあくまで犯罪を成立させるための手法の一つに過ぎない。さらに着目すべき攻撃手法は、この感染コンピュータを利用して実際に金銭的利益を得るためのもう一つの仕組みにある。それが「クリックハイジャック」と「偽広告」を実現するインフラである。これはインターネットのインフラを直接コントロールできる立場にあったサイバー犯罪グループだからこそ成し得たものである。

編注:クリックハイジャックは、検索結果のリンクをクリックしてアクセスするサーバーのIPアドレスをDNS Changerで置き換える手法である。偽セキュリティソフトや医薬品の違法販売サイトに誘導していた。「偽広告」はニュースサイトや通販サイトのバナー広告を不正なものに置き換える手法だ。

 次回はクリックハイジャックと偽広告について詳細を解説する。

染谷 征良(そめや まさよし)
トレンドマイクロ セキュリティエバンジェリスト
トレンドマイクロのコアコンピテンスであるコアテクノロジーをベースとした技術優位性、 競合差別化の啓発を担当。製品ではなく顧客の課題やリスク、システムをベースにした提案を行う。サイバー攻撃、クラウドセキュリティ、モバイルセキュリティなどのエバンジェリスト。ITセキュリティ業界で15年の実務経験を有する。