米国のセキュリティ企業や組織は2008年12月4日、新たなウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。特徴はDHCPサーバー機能を持つこと。同じLANに存在する別のパソコンに、偽の設定情報を送信。攻撃者のDNSサーバーを参照させるようにして、フィッシング詐欺サイトなどへ誘導する。ウイルスに感染していないパソコンや脆弱(ぜいじゃく)性のないパソコンにも被害を与える点が脅威。

 感染したパソコンの「hostsファイルを改ざんする」「DNSサーバーの設定を変更して、攻撃者のDNSサーバーを参照させる」といった方法で、ユーザーを悪質なサイトへ誘導するウイルスは、今までに多数出現している。こういった手口は「ファーミング(ファーミング詐欺)」などとも呼ばれる。

 この手口の“巧みな”ところは、正規のURLを、悪質サイトのIPアドレスに関連付けること。これにより、Webブラウザーに正規のURLを入力しているにもかかわらず、フィッシング詐欺サイトなどに誘導されてしまう。

 DNSサーバーの設定を変更するようなウイルスは「DNSChanger」などと呼ばれ、ここ最近、相次いで出現。Windowsで動作するものだけではなく、Mac OSで動作するものも複数確認されている。

 今回出現したウイルスも“原理的”には同じ。異なるのは、ウイルスに感染したパソコンではなく、同じネットワークに存在する非感染パソコンに被害を与える点。

 今回のウイルスは、感染すると、そのパソコン上でDHCPサーバーを動作させるとともに、ネットワークを流れるデータを監視する。そして、別のパソコンが正規のDHCPサーバーに対して送信した問い合わせパケットを見つけると、その問い合わせに対して偽の応答を送信する。

 偽の応答には、攻撃者のDNSサーバーを参照させるような設定情報が含まれる。このため、この応答を受け取ったパソコンは、攻撃者の意のままに、悪質サイトに誘導される恐れがある。

 米サンズ・インスティチュートのスタッフは、ウイルスはまだ“洗練”されていないものの、手口は“興味深い”とコメント。前述のように、ウイルスに感染していないパソコンが被害に遭うため、原因を特定することが難しいという。

 米マカフィーでは、今回のウイルスについては、公共の無線LAN環境などで被害に遭うシナリオが考えられるとコメント。1台の感染パソコンが、多数のパソコンに影響を与えるウイルスではあるが、現時点では広くは出回っていないようだとしている。