マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰

　総務省は26日、官民連携で進めているマルウェア対策プロジェクト「ACTIVE」の一環として、マルウェアに感染したPCとC＆Cサーバー（指令サーバー）間の通信を抑止するための取り組みを開始したと発表した。今後、ACTIVEに参加するプロバイダー（ISP）各社で対策の導入が進む見込み。

「ACTIVE（Advanced Cyber Threats response InitiatiVE）」のウェブサイト

　近年のマルウェアは急速に高度化・複雑化が進んでいる。一般ユーザーの端末にマルウェアを仕込んで乗っ取り、遠隔地のC＆Cサーバーから監視・操作して銀行口座情報を詐取するなどの手口が横行している。

　今回の取り組みは、今まさに発生しようとしている不正通信をISPのDNSサーバーで遮断するのが特徴。一般的に、ISP加入者はISPのDNSサーバーを使って、ドメイン名とIPアドレスの変換を行っている。また、マルウェアも通信先の特定にドメイン名を使う。

　そこでACTIVE側では悪質なC＆Cサーバーのドメイン名を事前に把握。マルウェアに感染したISP加入者のPCがC＆CサーバーへアクセスすべくDNSに接続した際、C＆CサーバーのIPアドレスを返さないことで不正通信を防ぐという。

　通信の遮断にあたっては、「通信の秘密」への配慮もまた必要となる。ACTIVEでは業界団体とも連携し、技術面を含めた具体的な方策を検討してきたが、今回の発表にあわせて対応を本格化させる。

　総務省によれば、今回の取り組みはACTIVE参加事業者が順次展開する見込み。なお、マルウェアによるC＆Cサーバーとの通信の遮断は、2月1日よりNTTコミュニケーションズ株式会社と株式会社ドリームトレインインターネットがすでに開始したことを発表している。