ニュース

マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰

 総務省は26日、官民連携で進めているマルウェア対策プロジェクト「ACTIVE」の一環として、マルウェアに感染したPCとC&Cサーバー(指令サーバー)間の通信を抑止するための取り組みを開始したと発表した。今後、ACTIVEに参加するプロバイダー(ISP)各社で対策の導入が進む見込み。

「ACTIVE(Advanced Cyber Threats response InitiatiVE)」のウェブサイト

 近年のマルウェアは急速に高度化・複雑化が進んでいる。一般ユーザーの端末にマルウェアを仕込んで乗っ取り、遠隔地のC&Cサーバーから監視・操作して銀行口座情報を詐取するなどの手口が横行している。

 今回の取り組みは、今まさに発生しようとしている不正通信をISPのDNSサーバーで遮断するのが特徴。一般的に、ISP加入者はISPのDNSサーバーを使って、ドメイン名とIPアドレスの変換を行っている。また、マルウェアも通信先の特定にドメイン名を使う。

 そこでACTIVE側では悪質なC&Cサーバーのドメイン名を事前に把握。マルウェアに感染したISP加入者のPCがC&CサーバーへアクセスすべくDNSに接続した際、C&CサーバーのIPアドレスを返さないことで不正通信を防ぐという。

 通信の遮断にあたっては、「通信の秘密」への配慮もまた必要となる。ACTIVEでは業界団体とも連携し、技術面を含めた具体的な方策を検討してきたが、今回の発表にあわせて対応を本格化させる。

 総務省によれば、今回の取り組みはACTIVE参加事業者が順次展開する見込み。なお、マルウェアによるC&Cサーバーとの通信の遮断は、2月1日よりNTTコミュニケーションズ株式会社と株式会社ドリームトレインインターネットがすでに開始したことを発表している。

(森田 秀一)