遠隔操作マルウェアの通信先情報をISPに提供 - 通信抑止や注意喚起に活用

総務省の「官民連携による国民のマルウェア対策支援プロジェクト（ACTIVE：Advanced Cyber Threats response InitiatiVE）」では、同プロジェクトで得た「コマンド＆コントロール（C&C）サーバ」の情報を各ISP事業者へ提供する試みを開始した。

マルウェアに感染した端末が、「C＆Cサーバ」から遠隔操作され、情報を窃取されたり、DDoS攻撃の踏み台にされるといった被害が増えており、こうした被害を未然に防ぐ目的で開始したもの。日本データ通信協会テレコム・アイザック推進会議との連携により、各ISP事業者に対し「ACTIVE」で得られた「C＆Cサーバ」に関する情報を提供するという。

情報提供を受けたISPでは、マルウェアとC＆Cサーバ間の通信を抑止するとともに、感染端末の利用者への注意喚起を行うことで被害の軽減を目指すとしている。

電気通信事業者は、通信の秘密を保護する必要があるが、総務省では2015年9月に「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第2次とりまとめ」を決定。

これを受けて電気通信事業者の業界5団体では、通信の秘密にあたる場合であっても、電気通信事業者が法的責任が問われない「違法性阻却事由」などの考え方を示した「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」を改訂した。

同ガイドラインでは、マルウェアへ感染し、C&Cサーバなど利用者が望まない通信先と通信が自動的に行われる場合について言及しており、アクセス先のIPアドレスやURLのみから悪意ある通信を機械的に検知する場合、個別同意を必要とせず、包括同意のもとレピュテーションデータベースに基づいて遮断できるとしている。

（Security NEXT - 2016/02/29 ） ツイート

PR

関連記事

総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
米CISA、「MS 365」のセキュリティ最低構成と評価ツールを公開
J-CSIP、脅威情報22件を共有 - 海外関連会社への攻撃報告も
VPN経由でランサム攻撃 - 多要素認証の一時停止中に侵入
まもなく「CODE BLUE」が開催、講演テーマから浮かび上がる社会的課題
「CODE BLUE 2022」の全24セッションが決定
サポート終了も1割強が業務でIE利用 - 35％はEdgeのIEモード
ID-based Securityイニシアティブが発足
カスペ、サイバー攻撃対応のゲーム大会を開催 - オンラインでも参加可能
中小企業向けテレワークのセキュリティガイドライン - CSAJ