米Websenseは米国時間11月3日,攻撃者のDNSサーバーへアクセスするようにパソコンの設定を変更する「トロイの木馬(悪質なプログラム)」が確認されたとして注意を呼びかけた。トロイの木馬を実行すると,ブラウザに正しいアドレスを入力しても,偽のサイトへ誘導されてしまう。攻撃者は誘導先をいくらでも変更できるので,米SANS Instituteでは「hostsファイルを書き換える手口よりも,強力で柔軟性がある(more powerful and flexible)」としている。
今回確認されたトロイの木馬は,「フィッシング」あるいは「ファーミング」と呼ばれる詐欺に悪用される(関連記事)。フィッシングおよびファーミングは,攻撃者が用意する偽サイトへユーザーを誘導し,個人情報などを入力させて盗むオンライン詐欺である。
トロイの木馬は,米PayPalをかたる偽メールで配布される。メールには,「海外から,あなたのアカウントでログインしようとする試みが何回か確認されています。セキュリティのために,下記のリンクからセキュリティ・ツールをダウンロードしてください。さもないと,あなたのアカウントを一時的に無効にします」といった内容が書かれている。
ファイル名が「PayPal-2.5.200-MSWin32-x86-2005.exe」のその“ツール”をダウンロードして実行すると,パソコンのDNSに関する設定が変更されて,攻撃者の管理下にあるDNSサーバーへアクセスしてアドレス解決するようになる。設定を変更すると,その“ツール”は自分自身を削除する。
その後,ユーザーがPayPalにアクセスしようとすると,偽のIPアドレスを返されて偽サイトへ誘導される。攻撃者のDNSサーバーは,PayPalのアドレスが要求された場合だけ偽のIPアドレスを返す。
偽サイトでは,ユーザーにアカウントを更新するよう促し,個人情報の入力を要求する。具体的には,名前やクレジット/キャッシュ・カード情報,電話番号,社会保障番号,誕生日,免許証に関する情報などを入力させて盗む。
Websenseによると,11月3日時点では,どのウイルス対策ソフトもこのトロイの木馬を検出できなかったという。また,攻撃者のDNSサーバーはルーマニアに,偽サイトはインドに置かれていて,11月3日時点ではいずれも動作していたとしている。
ユーザーを偽サイトへリダイレクトさせる方法としては,パソコンのhostsファイルを改ざんする方法がよく用いられる。今回同様,トロイの木馬などを実行させて,hostsファイルに偽のエントリを追加する。ただしこの方法では,hostsファイルにIPアドレスを記述した偽サイトが閉鎖されれば個人情報は盗めなくなる。後日,リダイレクト対象のサイトを追加することもできない。
今回確認された方法では,DNSサーバーは攻撃者の支配下にあるので,リダイレクト先を変更したり,PayPal以外のリダイレクト対象を追加したりすることが可能である。SANS Instituteでは,「今日のターゲットはPayPalだが,どのサイトもターゲットになりうる」「メールの内容や誘導先だけを変更した,今回のトロイの木馬のコピーが出回るだろう」---として注意を呼びかけている。
対策は,トロイの木馬を実行しないことが第一。メールの内容をうのみにしてはいけない。SANS Instituteでは,組織としての対策の一つとして,「LAN内でDNSサーバーを動かして,外向きのUDPポート53番へのトラフィック(DNSサーバーへのクエリー)はLAN境界で制限する」ことを挙げている。つまり,特定のホスト以外は,インターネット上のDNSサーバーを参照できないようにすることを対策として挙げている。
◎参考資料
◆PayPal Traffic Redirection
◆New DNS modifying malcode
