マルウェアの通信をDNSレベルで遮断する「ACTIVE」とはなにか

今回のネタは国家レベルでの「ACTIVE」という新しいマルウェア対策について。

まずは関連する記事のリンク。


ACTIVE（Advanced Cyber Threats response InitiatiVE）
http://www.active.go.jp/

プレスリリース
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000106.html

加入者がマルウェア指令サーバーと通信するのをISPが強制的に遮断、新たなサイバー攻撃対策スタート
http://internet.watch.impress.co.jp/docs/news/20160203_741967.html

マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰
http://internet.watch.impress.co.jp/docs/news/20160226_745724.html


これらの記事を読めばわかると思うが、要するにあらかじめ用意されたブラックリストに載っているアドレスへの通信を遮断しよう、というもの。

しかし、マルウェアが通信を送る先のIPアドレスは、マルウェアの存在が「ACTIVEの管理者」に知られた後にブラックリストに登録となる。従ってブラックリストに登録されていないサーバーは常にどこかに存在する事になるので、このシステムがあれば安心というものではない。

あくまで“ある程度の被害を防ぐ事が可能”という程度に思うべきだ。


他には“悪性サイト”に指定されたアドレスへの、通信の監視も行うようだ。
この“悪性サイト”に接続したコンピュータには、悪性サイトに接続したと注意が行われるらしい。

また、マルウェアに感染したコンピュータに対して駆除方法の提供を行う事もする。これはマルウェアからの通信が確認されたコンピュータのIPアドレスに対し、メールなどで通知を行うようだ。


以上、簡単に要点をまとめてみたが、より詳しい情報はACTIVEのサイトやACTIVEを紹介するWeb記事を参照して欲しい。


追記：

ACTIVEのような“国家とISPが結びついた大規模なWeb監視”は、ある意味中国の“グレートファイアーウォール”と同じである。建前上はマルウェアの通信のみを監視している事になっているが、やろうと思えばどのような通信であっても自由に監視出来るからだ（今の所は各ISPのモラルによって通信の秘密が守られている）。

また、意図せずマルウェアと無関係の通信を遮断してしまう“事故”も起こり得るだろうし、場合によっては“意図的に事故を起こす”事だって自由自在だ。

以上の理由から、システムの運用に間違いの起きないよう、第三者による監査が必要であると思う。