マルウエア「DNS Changer」の対策組織であるDCWG(DNS Changer Working Group)は米東部標準時の2012年7月9日、DNS Changer感染パソコンから送られたDNSクエリーに対する応答を停止したと発表した。これ以降、DNS Changerに感染しているパソコンはインターネットにアクセスできなくなっている可能性が高い。
DNS Changerは2007年頃に登場したマルウエア。パソコンのDNS設定を勝手に書き換え、攻撃者が用意したDNSサーバーにアクセスさせる。ここから偽のDNS応答を返し、さらに別のマルウエア配布などの悪事を働くサイトにアクセスさせる仕組みだった。ただし既にDNS Changerの作成者は逮捕され、攻撃者のDNSサーバーは普通のDNSサーバー(代替サーバー)に置き換えられた(関連記事)。
7月9日までは、DNS Changerに感染したパソコンはこの代替サーバーを使って名前解決を行いインターネットにアクセスしていた。DCWGでは、7月8日時点でのDNS Changer感染数は21万程度、国・地域別の感染数で見ると日本の感染数は5500程度になるとしていた。
日本では、JPCERT/CCがDNS Changerに関して注意を喚起し、感染の有無を確認できる「DNS Changer マルウエア感染確認サイト」を提供していた(関連記事)。JPCERT/CCのサイトでは、7月に入ってからのアクセス数が6月の数倍に達している。現在最もアクセスが多いのは、DNS Changerの感染確認サイトを公開したことを知らせるページだという。
DNS Changer マルウエア感染確認サイトの運用は既に終了しているが、いまもアクセスすることが可能。DNS Changerに感染していなければ「このサイトが表示されている方は、DNS Changer マルウエアに感染している可能性はありません」というメッセージを載せたページが表示される。JPCERT/CCによると、これはDNS Changerに感染していないことを確認し、安心してもらうための措置。アクセスが落ち着くまではこのままの状態で運用するという。
DNS Changerに感染しているパソコンは、代替サーバーが停止したためDNSの名前解決ができず、感染確認サイトにすらアクセスできない可能性が高い。そのため、DNS Changerに感染していることは、感染確認サイトへのアクセス以外の方法で確認する必要がある。基本的にはパソコンのDNS設定を見て、攻撃者のDNSサーバーが使っていたIPアドレスに書き換えられていないかを確認する。セキュリティソフトで検知できる場合もある。
