ニュース

加入者がマルウェア指令サーバーと通信するのをISPが強制的に遮断、新たなサイバー攻撃対策スタート

 遠隔操作マルウェアなどのサイバー攻撃の脅威拡大を受けて、NTTコミュニケーションズ株式会社(NTT Com)と株式会社ドリームトレインインターネット(DTI)は、マルウェアが外部のC&Cサーバーに接続するのを防ぐ不正通信ブロックサービスを、それぞれ提供開始した。

NTTコミュニケーションズが発表した「マルウェア不正通信ブロックサービス」

 サービスでは、ISP事業者が持つDNSサーバー内にブロックリストを内蔵し、ISP加入者の通信の宛先情報とリストを自動的に照合することで、リストに含まれるC&Cサーバーへのアクセスを阻止する仕組み。ユーザーの申し込み不要で適用されるため、すべてのISP加入者が対象となる。解除する場合はISPへの申請、設定変更の必要がある。なお、照合に使用されるブロックリストは、NTT Comによると独自で運用しているという。

 この機能は、総務省がサイバー攻撃に対する指針を出したことを受け、一般社団法人インターネットプロバイダー協会や一般社団法人電気通信事業者協会など6団体で構成する「インターネットの安定的な運用に関する協議会」が、「電気通信事業者におけるサイバー攻撃などへの対処と通信の秘密に関するガイドライン」を改定したことで、業界全体で準備が進められていたもの。今回、NTT ComとDTIがサービスを発表したが、ほかのISP事業者でも準備中と思われる。

 改定したガイドラインでは、個別の同意を取っていない場合でも、契約約款等に基づく事前の包括同意として、マルウェアに感染した端末とC&Cサーバーなどとの通信をブロックリストに基づいて遮断することが追記された。また、DNSを悪用したDDoS攻撃を防ぐため、DNSサーバーを通過するすべてのFQDNを確認し、ブロックリストと一致する場合は通信を遮断するとしているほか、脆弱性があるブロードバンドルーターをネットワーク上で調査し、契約者を特定して注意喚起することなども明記されている。

ガイドラインにおける、「レピュテーションDB(悪質行為を行うドメインやIPアドレスなどが蓄積されたデータベース)」活用の項目。マルウェアと通信するC&Cサーバーの検知にレピュテーションDBを利用できるとしている

 なお、今回のサービスは、マルウェアに感染してしまったPCと、マルウェアに外部から指示を出すC&Cサーバーとの通信をブロックするもので、マルウェアそのものの感染を防ぐものではない。また、ブロックリストは可能な限り迅速にアップデートするとしているが、すべてのC&Cサーバーとの通信を遮断するものではないとしている。

(山川 晶之)