IIJの“DNSフィルタリング”は「安全なインターネット実現のため」、通信事業者としてのサイバー攻撃対策の狙い

（左から）株式会社インターネットイニシアティブ セキュリティ本部本部長の齋藤衛氏、広報部副部長の堂前清隆氏

　インターネット通信事業者の株式会社インターネットイニシアティブ（IIJ）は、7月1日より、モバイルサービスを含む個人向けサービス「IIJmio」などから順次、マルウェアに感染した通信をブロックする「DNSフィルタリング」の運用を開始した。これは、マシンに感染したマルウェアに指令を与える「C&Cサーバー」を、IIJのDNSサーバーからは見えなくするものだ。デフォルトでは有効で、利用者が設定することで無効にできる、オプトアウト方式をとっている。

　IIJのDNSフィルタリングに関する取り組みについては、3月に発表されていたが、実施が近づいてきて改めて周知されるようになったことから、2018年になされた「漫画村」などの海賊版サイトをDNSでブロックすることの議論との関連性から、SNSなどで議論の対象となった。しかし、IIJは「インターネットを破壊するDDoS攻撃を止めること」がこの取り組みの前提にあると考える。

　DNSフィルタリングを実施する背景と実施形態について、IIJ広報部副部長の堂前清隆氏と、セキュリティ本部本部長の齋藤衛氏に話を聞いた。

ISP各社に比べて「周回遅れ」の実施、マルウェアを巡る状況が変化

堂前氏：
　今回のインタビューでは、背景を齋藤が説明し、今回のDNSフィルタリングによるマルウェア対策については私が説明します。

――ではまず、DNSフィルタリングに至った経緯を教えてください。

齋藤氏：
　まず、注目が高いというのは分かりますが、われわれの認識としては、ISPの中では周回遅れと思っています。丁寧にやろうとしていたらこうなった、というのが正直なところです。

　もともと、総務省とISP、セキュリティベンダーが集まってマルウェア対策する官民連携の「ACTIVE（Advanced Cyber Threats response InitiatiVE）」プロジェクトが、2018年3月までありました。

　総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」では、URLフィルターや、マルウェア感染予防、C&Cサーバーの情報の扱いなどについて、法律の専門家も交えて対応を検討しました。その第一次とりまとめが2014年に出ています。その中で、ウェブ感染型マルウェアについて、約款やオプトアウトなどの条件を満たした上で手続きを踏めば遮断してもよい、という見解が出されました。

　2015年には第二次とりまとめが出ています。感染してしまった人のC&CサーバーへのアクセスをDNSで遮断してよいかについて、やはり一定の条件のもとで認めるというものです。

　これに従って、ISP各社が2016年ごろから、DNSフィルタリングを実施している、とわれわれは認識しています。

堂前氏：
　「INTERNET Watch」でも、2016年にNTT ComやDTIが、DNSによってC&Cサーバーへのアクセスを遮断する対策を開始したという記事がありましたね。そのほか、ACTIVEに参加している会社を中心に、時期はばらばらですが、2016年ごろにISP各社が実施しています。

――その中でIIJが今始めたのは、どうしてでしょうか。

齋藤氏：
　われわれもやろうと判断をしましたが、丁寧にやろうと考えました。具体的には、説明に時間を使うことにしました。2016年12月にステートメントを出し、それからの約2年、法人や個人に広く伝えるよう務めました。

　その間に、マルウェアを巡る状況が変化し、やらざるをえない要素が増えてきました。2016年のリオデジャネイロオリンピックでは、それまでにない規模のDDoS攻撃が集中しました。

　また、IoT機器に感染するマルウェア「Mirai」が流行し、1Tbpsを超える攻撃も起きました。2017年11月には、一夜にして国内で2万台、世界で数十万台が感染してIoTボットとなった事例も発見されました。これらに対し、JPCERTコーディネーションセンター（JPCERT/CC）やICT-ISACなどの業界団体や、情報通信研究機構（NICT）、われわれのような企業、ホームルーターのメーカーなどが注意喚起のアナウンスを出しました。しかし、注意喚起までに1カ月半かかり、それでは遅いので対応手法を持たなければいけないだろうと考えました。

　よく発見されるのは、ホームルーターやモバイルルーターの脆弱性を狙われてIoTボット化している例です。2018年3月には、4機種のホームルーターのDNS設定が外部から改ざんされて、Android端末の偽アップデートに誘導される被害がありました。このように、IoT機器やホームルーターの脆弱性を狙われることが多くなっています。

　こうした背景から、今回、始めることを判断しました。

2019年4月5日にウェブサイトで公開された「IIJのセキュリティに関する取り組み」では、DNSフィルタリングによるマルウェア対策について説明されている

DNSサーバーを2種類用意、IIJの網内で流行しているものを人間の確認のもと遮断

――今回のDNSフィルタリングの内容を教えてください。

堂前氏：
　われわれの持つレピュテーションデータを元に、C&Cサーバーへの名前解決の要求がDNSにあったときに、遮断するものです。モバイルサービスなどの一部サービスで7月1日から適用開始となり、順次さまざまな接続サービスに拡大していきます。包括的な同意のもと、デフォルトでは有効ですが、オプトアウトで無効にできるようになっています。

――遮断する対象はどのように決めるのでしょうか。

堂前氏：
　元になる情報としては、まず、通信ログなどからビッグデータ解析したIIJの持つ情報があります。そのほか、公的なものや民間など各種セキュリティ団体による、公開情報や、NDAベースの情報などもあります。

　こうした情報を元に、われわれのアナリストがマルウェアの検体を入手し、静的解析や、動作させてみた動的解析などの分析をして、悪性であるかどうかを判断します。そこで悪性と判断されたものについて、IIJの網内で流行しているかどうかログから確認し、止めざるをえないと判断したものについて遮断します。また、その後、活動していないと判断したら解除します。

　このように、人間の確認の元に、最小限の対象だけを遮断します。

IIJが入手した情報のほかに、各種セキュリティ団体など協力機関から得た情報を元に検体を取得・判定。判定結果をレピュテーションデータベースに登録して、DNSサーバーにフィルタリングを反映する。活動が収束したと推測されたマルウェアに関しては登録を解除する

齋藤氏：
　何万件もあるようなレピュテーションデータをそのまま投入するという誤解があるかもしれませんが、そのようなことはありません。

――遮断はどのような仕組みでしょうか。

齋藤氏：
　DNSサーバーを2種類用意します。DNSフィルタリングが無効な利用者向けのDNSサーバーと、DNSフィルタリングが有効な利用者向けに遮断対象をフィルタリングするDNSサーバーとがあり、ユーザーの設定で参照先を切り替えるという仕組みです。そのため、オーバーヘッドもありません。

――ユーザーごとにアクセスできるサイトに違いが出ることはあるのでしょうか。

堂前氏：
　DNSフィルタリングが有効か無効かの2通り以上の違いはありません。

――マルウェア側で回避してしまう可能性は。

齋藤氏：
　DNSに頼らないマルウェアはあります。DNSフィルタリングだけで全て遮断できるとは思っていませんし、全てがFQDNのブロックで対応できるとも思っていません。今回の対策は、単純で非常に数の多いものを網に掛ける目的のもので、高度なマルウェアが数多くなったら、また別の方法を考えるかもしれません。事象と緊急度の兼ね合いです。

　われわれのビジネスとしては、高度なセキュリティサービスもありますが、今回のDNSフィルタリングはそれとは別のものです。いわば公衆衛生としての対策です。

前提になるのは「インターネットを破壊するDDoSを止める」こと

――DNSフィルタリングというと法的な問題もありそうですが。

堂前氏：
　今回の実施にあたっては、法的な整理に基づき、約款の改訂をして、包括的な同意を受けて実施します。

　まず、先ほど齋藤から説明した「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」の2015年の第二次とりまとめでは、条件を満たした上でC&Cサーバーとの通信をDNSフィルタリングで阻害することは問題ないという検討がされています。

　このとりまとめを受けて、業界団体「インターネットの安定的な運用に関する協議会」がガイドラインを書いています。この協議会は、電気通信事業者協会（TCA）、テレコムサービス協会、日本インターネットプロバイダー協会、日本ケーブルテレビ連盟、ICT-ISACの5つの団体によるものです。このガイドラインの、2015年11月に出された第4版で、一定の条件に基づいて包括的同意が有効という記述を追加しています。

――特に、2018年に「漫画村」など海賊版サイトをDNSで遮断することについて議論があったことから、検閲や通信の秘密への懸念の声もあります。

堂前氏：
　検閲ではないかという議論があるのは理解しています。

　まず、電気通信事業法における検閲と通信の秘密については、1986年（昭和61年）6月11日の最高裁の判例や、総務省監修の書籍「電気通信事業法逐条解説」を参照すると、第3条の検閲の禁止は行政が対象、第4条の秘密の保護は民間が対象とされているというのが、法曹界では通説になっていると思います。また、この第4条を受けて、前述した業界団体のガイドラインがまとめられている、という理解でおります。

　このガイドラインの要請としては、一定の正当性があること、いつでもフィルタリングの同意・不同意を変更できること、同意してもしなくても同一条件で利用できること、相応の周知が図られていること、の4つがあります。

　このうち周知については、利用者にメールでご案内をしたり、法人顧客には機会に応じてご説明したり、イベントでご説明したりといった活動をしてきました。IIJmioの約款では、3月に改訂して、規約の37条の2に規定を入れました。

　このことに異論はあると思っています。法的な有効性は最終的には裁判所が判断するもので、ガイドラインに従っていればいいというものではありません。われわれとしては最善の努力をしているという立場ですが、ガイドラインと違う意見があることも承知しており、どちらも理があると考えています。ただし、われわれがどちらをとるかということで、総務省のとりまとめとガイドラインに一定の妥当性があると考えて、そちらの解釈に基づいた行動をとっています。

　前述したように、ガイドラインは2015年に出て、2016年ごろからISPが対応し、拝見した範囲では複数社のISPが約款に入れています。その状態で現在まで過ごしてきたという実績があり、議論があるとは思いますが、注視する必要があると考えています。

　ただし、ガイドラインにあるように、正当性は熟慮しなくてはなりません。われわれにとって前提になるのは「インターネットを破壊するDDoSを止める」ということです。そのため、海賊版サイトなどは対象外です。

　あくまでマルウェア対策ということで、インターネットを安全に守る目的のために使うことを繰り返しお伝えしなければいけないと思っています。

　余談ですが、GDPRの個人情報の保護との関係を尋ねられることもあります。今回のDNSフィルタリングは日本国内で提供される通信サービスが対象のため、GDPRの影響は受けません。

四半期に1回、「DNSフィルタリング定期レポート」で報告初回は2019年10月に発行予定

――IIJが正当性を熟慮すると言っていても、利用者としては、恣意的な運用やオーバーブロッキングなどがあるのではないかという疑念もあります。

堂前氏：
　そのために、仮に「DNSフィルタリング定期レポート」と呼んでいるレポートによって、フィルタリングの状況を報告します。いまのところ、四半期に1回を考えていて、最初の7～9月の分を10月に発行したいと思っています。

　このレポートでは、DNSフィルタリングの対象にしたマルウェアについて、どのようなマルウェアか、いくつのFQDNを何日に止めたか、終息してフィルタリングを解除した場合はその情報も記載します。FQDNについては、前述したNDAベースで入手した情報を公開することができないため、件数で報告することになると思います。

四半期に1回公開される予定の「DNSフィルタリング定期レポート」では、フィルタリングの対象になったマルウェアの情報について説明する

――DNSフィルタリング定期レポートには、1回に何件ぐらい載ると想定しているでしょうか。

齋藤氏：
　全く分かりません。ただし、DNSフィルタリングは人手が介在しますし、本当に攻撃があるものが対象なので、数が限られると思います。

――例えばCoinhiveを遮断する可能性についての指摘もあります 。

齋藤氏：
　Coinhiveについては、われわれは悪だと言ったことはありません。

堂前氏：
　われわれとしては、遮断が最小限になるように努力していると言うことしかできません。具体的な内容は、DNSフィルタリング定期レポートで事後に報告します。

　そのほか、利用者が正常な通信ができなくて、DNSフィルターのせいではないかと考えることもあるかもしれません。そうした場合は、窓口に問い合わせていただければと思います。

通信事業者として「運ぶべきパケットを運ぶ」ための対応

――「ブロッキング」でなく「フィルタリング」という言葉を使うのはなぜか、という声もあります。

堂前氏：
　業界の定説というわけではありませんが、同意なく止めるのがブロッキング、同意があるのがフィルタリングだと考えています。例えば、青少年保護はフィルタリング、児童ポルノはブロッキングです。今回の対策は、外したい方はどうぞ外してくださいという立場で、フィルタリングとしています。

――ネットワーク中立性を理由にゼロレーティングに懐疑的なIIJがなぜ、という声もあります。

堂前氏：
　ゼロレーティング[*1]をユーザーからの依頼でやるなら、通信の秘密の問題はないと考えています。問題になるのはコスト負担で、ゼロレーティングの分の負担を全利用者で負担するようだと、ゼロレーティング相当のものが得することになって、公平ではありません。いずれにしても、今回のDNSフィルタリングとは異なる問題だと考えています。

――始まったばかりですが、すでにオプトアウトした利用者の数はどのぐらいでしょうか。

堂前氏：
　具体的な数は言えませんが、多くはありません。

齋藤氏：
　ちなみに、法人には2回連絡していて、直接の問い合わせもいただいています。というのも、担当の方は賛成だが、社内の了解を得るための材料が欲しい、ということのようです。

――デフォルトで有効になっていて、連絡されても気付かない利用者もいるのではないでしょうか。

堂前氏：
　連絡を見ない方もマルウェアに感染することがありますので、むしろそのためにオプトアウト方式にする必要があると考えています。全員が見てくれるのであれば、オプトイン方式でもいいのかもしれませんが。

　とはいえ、気付いてもらえないのはどうにかしなくてはいけないと考えています。例えば、以前、特定機種のホームルーターの脆弱性をアナウンスしても、気付いていただけないケースがあり、感染している利用者に個別に連絡することもありました。

齋藤氏：
　今回の対策については、今後とも折に触れて開示していきますし、レポートも公表します。それについては努力するとしか言えませんが、黙ってやるつもりはありません。

――利用者からの反応はいかがでしょうか。

堂前氏：
　以前、この件についてトークイベントの「IIJmio meeting」で話して、最初顔をしかめている人もいましたが、そこから「そういう事情なのね」と言ってくれた人もいました。海賊版サイトと関連付ける人も一定数いますが、時間をかけて説明することで、分かっていただける人もいます。

　そもそも、通信事業者が通信を止めること自体に違和感を持つ人もいます。通信事業者は「土管」としてパケットを運ぶのが最重要なわけです。ただし、DDoSなどの攻撃は、パケットを運ぶことそのものを阻害するものです。われわれは、運ぶべきパケットを運ぶために、なんらかの対応をとることが必要だと考えています。