ニュース

NISTガイドラインでも推奨、DNSにセキュリティを組み込む「プロテクティブDNS」。専門ベンダーInfobloxが解説

  • 山田 貞幸

2026年4月17日 06:30

Infoblox株式会社 カントリーマネージャー 土橋一範氏

 Infoblox株式会社は4月17日、メディア向け説明会を行い、同社の事業戦略や、サイバー脅威の動向を解説した。

 同社は1999年に創業したDDIソリューション(DNS、DHCP、IPAM:IP Address Managementの3機能を統合して管理するソリューション)の専門ベンダーであり、世界で50%以上の市場シェアを持つ。日本法人は2004年に設立している。

悪性ドメインへの接続をブロックする「プロテクティブDNS」

 冒頭で、同社の紹介を行った土橋一範氏(カントリーマネージャー)は、事業戦略のコアとなる「プロテクティブDNS」について説明を行った。

 DNSは、ユーザーがアクセスするドメイン名をIPアドレスに変換する「名前解決」を行うが、この際、問題のない良性ドメインに対しても、フィッシングサイトなど悪性ドメインに対しても名前解決を行ってしまう。プロテクティブDNSは、ユーザーが悪性ドメインにアクセスしようとしている場合はこれをブロックし、アクセスさせないようにすることで、サイバー攻撃の被害を未然に防ぐ。

 同社独自の脅威インテリジェンス「Infoblox Threat Intel」で、疑わしいドメインに対してはドメインが登録されたときから特定する。以降、継続的に監視・追跡を続け、実際に攻撃を始める前に、悪性ドメインと特定し、ブロックすることが可能だという。同社では、これを、一般的なリアクティブ(攻撃を受けてからの)サイバーセキュリティではなく、プロアクティブ(攻撃を受ける前の、先制的な)サイバーセキュリティである、と位置づけている。

DNSは良性ドメインか悪性ドメインかを区別せず名前解決を行うが、フィッシングサイトなど悪性ドメインを名前解決の段階で判定できれば、アクセスを防ぎ被害を抑止することが可能になる
プロテクティブは悪性ドメインを判定し、アクセスをブロックする。これにより、この後のネットワークのセキュリティソリューション(SASE、NGFW、NDR、EDRなど)の負荷を軽減できる。また、アクセスするデバイスを問わないことからIoTセキュリティにも効果的だという
脅威インテリジェンス「Infoblox Threat Intel」の働き。悪性ドメインが「武器化」され攻撃を展開する前に、悪性判定し、アクセスをブロックできる

 ちなみに、2025年に関連法が成立し、今年10月1日に施行される「能動的サイバー防御」も、「先制的サイバーセキュリティ」と似た言葉であり、攻撃を受ける前に対策するという点では共通する。しかし、目的や具体的な動作は全く異なる。「能動的サイバー防御」では国の安全保障のために攻撃者のサーバーなどのシステムを無害化することが想定されているが、プロテクティブDNSは、導入した組織のサイバーセキュリティのため、悪性のドメインにアクセスさせないことにより被害を防ぐもので、攻撃者のシステムには影響を及ぼさない。

NISTのベストプラクティスでもプロテクティブDNSを推奨

 土橋氏は、NIST(米国国立標準技術研究所)の「セキュアDNS導入ガイド」が2026年3月に改訂され(Secure Domain Name System (DNS) Deployment Guide NIST SP 800-81 Rev. 3)、プロテクティブDNSを強く推奨する内容が加えられたことを紹介した。

 同ガイドは13年ぶりに改訂されたもので、DNSトラフィックの暗号化、専用DNSサーバーの導入などとあわせて、プロテクティブDNSの導入を強く推奨している。そのメリットとして、有害なトラフィックをリアルタイムにブロックできること、組織のポリシーに合わせたフィルタリングが可能になること、ほかのセキュリティソリューションの負荷を軽減できることなどが挙げられている。

NIST SP 800-81 Rev. 3で、プロテクティブDNSが強く推奨されている

悪性ドメインの97.1%へのアクセスを事前にブロック

 続いて、プロテクティブDNSの導入事例が紹介された。約30日間で1052個の悪性ドメインへのアクセスが観測された事例では、このうち97.1%を事前に悪性判定してブロックし、さらに0.3%をリアルタイム検知によりブロックした。2.6%は名前解決後に悪性と判定された。

 この悪性ドメイン1052個のうち、約74%の781件は実際に攻撃を実行する前のドメインで、リアクティブな対応をするほかのセキュリティベンダーでは悪性判断していないものだったという。「武器化」の段階の脅威を、高精度でブロックできていると、土橋氏は説明した。

1052個の悪性ドメインへのアクセスのうち、97.1%を事前に悪性判定してブロック

新規ドメインの90%は犯罪集団が登録

Infoblox シニア脅威リサーチャー ジョン・ヴォイチック氏

 悪性ドメインを利用したオンライン詐欺やオンラインカジノなどのサイバー犯罪・サイバー脅威の東アジアおよび東南アジアの動向について、Infobloxのジョン・ヴォイチック氏(シニア脅威リサーチャー)が説明を行った。

 同氏によれば、新規登録されるドメインのうち90%は犯罪集団による登録であり、マルウェア感染の90%にDNSが関連する。そして、日本を狙うサイバー攻撃の90%が国外からであるという。Infobloxでは、攻撃者に紐づくドメインの独自のパターンをもとにしたマッピングを行い、監視している。

 大量に登録されるドメインは、フィッシングサイトなど直接的なサイバー攻撃や、オンラインカジノのようなサイバー犯罪組織のビジネスに使われるほか、サイバー攻撃者にツールを提供するサイバー攻撃ビジネスの拠点としても使われる。Infobloxでは、悪性ドメインを特定して各国の法執行機関と協力してテイクダウンを目指す活動もしているが、攻撃者側も、冗長性や障害耐性を向上させたり、匿名性を強化したり、といった対策をとってくるという。

 また、悪性ドメインから攻撃者・サイバー犯罪集団を特定しても、地域によっては政治家などと結びついていて検挙が難しいこともある。このように、数の面でも個々の集団の特性の面でも対応が難しい例があると、ヴォイチック氏は語った。

東南アジアにおける脅威状況の概要
攻撃者により大量にドメインが登録され、テイクダウンへの対策も取られている

DNSを「サイバー防御の最前線」と再定義

 日本における今後の事業戦略として、土橋氏は「DNSをインフラではなく、サイバー防御の最前線として再定義する」と述べた。そして、同社による直接営業を強化するほか、新規パートナーの開拓も進めるとしている。

 このようなプロテクティブDNSの恩恵を受けられるのは、同社製品を導入した組織のみとなるが、海外ではISPや携帯電話キャリアと提携し、コンシューマー向けにプロテクティブDNSを導入している事例もあるという。日本においても、政府関係者や通信会社と会話中であると、土橋氏は話した。