セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

ルーターのDNSが書き換えられる

先週頃から、国内で「ウェブサイトが開かない」「Facebookに関する怪しいメッセージが表示される」といった被害報告が増加しています。
昨年から同様の被害がLogitec製の一部ルーターで報告されていましたが、新たにNTTのNetcommunity OGシリーズでの被害が報告されています。

内容

エンドポイントで見られる被害は、主だったウェブサイトを開くと「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」というポップアップメッセージが表示されるというものです。

上記画像では英語で表示されていますが、通常は日本語で表示されます。
このポップアップをクリックすると「Facebook.apk」というマルウェアがダウンロードされます。
そのため、このメッセージが出ても決して【OK】ボタンをクリックしないでください。そのままブラウザを閉じることを推奨します。

この現象はルーターのDHCP設定でプライマリDNSとセカンダリDNSが書き換えられることで発生します。
下の画像を見ると、様々なドメインが同じIPアドレスへ名前解決されていることがわかります。このようにして不正ページに誘導して、先述のメッセージを表示させています。

本件の被害に遭った場合、ルーター機器のメーカーまでお問い合わせください。

記事一覧に戻る