Internet Security - Trend Micro

トレンドマイクロは6月1日、「家庭用ルータのDNS設定変更を行う不正プログラムを確認|トレンドマイクロ セキュリティブログ」において、DNSチェンジャーと呼ばれるスクリプトを使うことで家庭向けルータのDNS設定が変更され、アカウント情報などが盗まれる危険性があることを伝えた。この攻撃方法はまだ広く知られていないと指摘するとともに注意を呼びかけている。

トレンドマイクロはこの手口に関連したWebサイトの増加を確認。具体的にはブラジル、米国、日本などでの増加が確認されているなか、特にブラジルが約9割を占めるなど、この攻撃の高い影響下にあることを指摘している。この攻撃では不正に加工されたWebサイトを閲覧することで内部ネットワークのルータに向かって攻撃が開始され、攻撃が成功するとルータのDNSサーバが不正に細工されたDNSサーバのIPアドレスへ書き換えられるとしている。

この不正なDNSサーバが使われると、フィッシングサイトなどが正規のサイトのように見えてしまうため、ユーザは気づかないうちにアカウント情報などを不正なサイトに送ってしまうことになるとしている。

家庭向けのルータではデフォルトのパスワードがそのまま使われていることがあり、そうした場合は高い確率でこの攻撃が成功することになる。しかも、攻撃者がフィッシング用に用意したサイト以外は普通に閲覧できるため、DNSサーバの設定が書き換えられた際も問題に気がつきにくいという特徴がある。

トレンドマイクロはこうした攻撃を防ぐため、すべてのアカウントに強いパスワードを使用すること、初期設定とは異なるIPアドレスを使用すること、リモート管理機能を無効化することなどを推奨している。記事には不正なDNSが使われているかチェックするための簡単なbashスクリプトが掲載されているほか、不正なDNSサーバとして機能しているサーバのIPアドレスの一覧も掲載されている。