DNSフィルタリングによるマルウェア対策について

改訂：2019年9月24日

インターネットは電気や水道のような社会インフラになりつつあり、IoTの浸透などにより接続機器が増えトラフィック量も大幅に増加しています。その一方で、既存のアンチウイルスなどの対策が難しいルータや監視カメラなどのIoT機器の脆弱性を悪用した大規模なDDoS攻撃の事件も増えてきています。また、2021年には東京オリンピックが開催され、過去のロンドンやリオデジャネイロオリンピックの際と同様に攻撃の増加が予想されます。

この様な背景を受けて、総務省による「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」を通じて、DNSによるC&Cサーバ（※1）の遮断など、電気通信事業者におけるサイバー攻撃への適正な対処に関して整理がされました。また、2018年には、電気通信事業者同士で情報共有、マルウェア感染機器の遮断やマルウェア感染の恐れのある機器に対する注意喚起を促進するために、電気通信事業法及び国立研究開発法人情報通信研究機構（NICT）法が改正されました。

IIJは、2016年よりセキュリティのビッグデータ解析である情報分析基盤を構築し、マルウェア感染などの悪性通信の抑止に向けて独自対策を開始しています。これは、お客様から同意を取得の上、ご契約頂いているお客様ログの多角的な分析を行い、悪性通信の遮断に向けたレピュテーションデータ（※2）の生成を行っております。今回のDNSフィルタリングによるマルウェア対策の取り組みは、接続サービスなどでご利用頂いているDNSサーバにC&Cサーバへの名前解決要求があった際、レピュテーションデータと当該の通信先が合致した場合に、悪性通信を遮断するものです。また、今回の取り組みでは、ご利用頂く際のDNS及び関連する通信のログに関しても、レピュテーションデータの品質向上と生成を目的とした分析、お客様サポート及びフィルタリング実施状況報告を目的とした統計情報作成に利用致します。

お客様におかれましては、IIJの取り組みをご理解頂き、DNSフィルタリングの実施及びDNSや関連する通信のログの分析に関しまして、ご同意の上、サービスをご利用下さいますようお願い申し上げます。なお、ご同意頂けないお客様は、不同意の意思表示（オプトアウト）をして頂くことにより、DNSフィルタリング及びDNSや関連する通信のログの分析を実施しないことが選択可能となっております。この選択は、随時行うことが可能です。本取り組みの対象となるサービス、及び、不同意の意思表示（オプトアウト）方法の詳細は、「DNSフィルタリングについて」及び「不同意の意思表示（オプトアウト）方法について」をご参照ください。

（※1） Command & Controlサーバの略で、マルウェアが感染した機器に対して、指令や制御を行うサーバ

Command & Controlサーバの略で、マルウェアが感染した機器に対して、指令や制御を行うサーバ （※2） IIJが生成するC&Cサーバの宛先の情報

DNSフィルタリングのイメージ

DNSフィルタリングについて

項目 内容 概要 以下の対象サービスにおいて、IIJよりご提供しているDNSサーバにレピュテーションデータを投入し、マッチした宛先に対してフィルタリング（遮断）を実施します。また当該のDNS及び関連する通信のログをレピュテーションデータの品質向上と生成を目的とした分析、お客様サポート及びフィルタリング実施状況報告を目的とした統計情報作成に利用致します。 費用 無償 対象サービスとフィルタリング適用開始時期 専用線ブロードバンド接続 インターネット接続サービス

IIJデータセンター接続サービス

IIJインターネットアクセスサービス 2019年12月2日より適用開始（事前評価のためのログ分析は2019年11月1日より開始） （※） サービスよりご提供しているDNSキャッシュサーバが対象となります。 IIJ Omnibusサービス 2019年12月2日より適用開始（事前評価のためのログ分析は2019年11月1日より開始） IIJ FiberAccess/Fサービス

IIJ FiberAccess/Uサービス

IIJ FiberAccess/Qサービス

IIJ FiberAccess/Cサービス

IIJ DSL/Fサービス

IIJ ISDN/Fサービス

IIJ接続アカウント管理サービス/タイプA

IIJ接続アカウント管理サービス/タイプE

LaITひかりコネクト

IIJ IPv6 FiberAccess/Fサービス タイプPPPoE 2019年7月1日より適用開始（事前評価のためのログ分析は2019年6月3日より開始） モバイル IIJモバイルサービス/タイプD

IIJモバイルサービス/タイプD 定額プランライト

IIJモバイルサービス/タイプDS

IIJモバイルサービス/タイプK

IIJモバイルサービス/タイプI

IIJモバイルMVNOプラットフォームサービス

IIJモバイルM2Mアクセスサービス クラウド IIJ GIOインフラストラクチャーP2

IIJ GIOコンポーネントサービス 2019年12月2日より適用開始（事前評価のためのログ分析は2019年11月1日より開始） （※） サービスよりご提供しているDNSキャッシュサーバが対象となります。 個人のお客様 IIJmioのWebサイト にてご案内しておりますのでそちらをご参照下さい。 その他サービス 上記以外のサービスにつきましても、順次対象を拡大していく予定です。対象サービスが追加された際は、ホームページ及び サービスオンライン に掲載していきます。

ご同意頂きたい内容について

本取り組みの対象となるサービスにおけるDNSサーバに対して、以下の内容に同意の上、サービスをご利用頂ければと存じます。

レピュテーションデータにマッチした通信のDNSフィルタリングによるマルウェア対策を実施すること

DNS及び関連する通信のログの分析を行うこと

同意頂ける場合、意思表示は不要です。フィルタリング適用開始時期以降、弊社にて設定を実施致します。なお、ご同意頂けない場合であってもサービスご利用に影響はありませんが、以下表をご参照の上ご対応下さい。

項目 同意の場合 不同意の場合 作業に関して お客様側で作業は発生致しません。 フィルタリングが適用されないDNSサーバへの設定変更、モバイルの場合はサービスオンライン上で不同意の意思表示（オプトアウト）が必要となります。 脅威への対応 レピュテーションデータにマッチしたC&Cサーバの通信を遮断することで被害の抑止が可能です。 マルウェアに感染しC&Cサーバへの通信が発生した場合には、他の機器で対策を行っていない場合に通信が成立する可能性があります。 ログの分析 DNS及び関連する通信のログをレピュテーションデータの品質向上と生成を目的とした分析及びお客様サポートに利用致します。 DNS及び関連する通信のログの分析は致しません。 ご利用サービスへの影響 目視での確認や定期的なデータベース更新等の複数の手法で、誤検知の発生などによる影響を最小限に留めるようにしています。 本件による影響はありません。

不同意の意思表示（オプトアウト）方法について

専用線、ブロードバンド接続、クラウドをご利用のお客様

お客様にてフィルタリング未適用のDNSサーバへ設定変更して頂くことによって、オプトアウトとみなします。フィルタリングを適用しないDNSサーバは既にご利用可能です。DNS サーバの情報および設定変更方法については下記をご参照下さい。

モバイルをご利用のお客様

サービスオンラインよりオプトアウトを行って頂きます。オプトアウトの方法については、下記をご参照下さい。

DNSフィルタリング定期レポート

お問い合わせ先

法人のお客様

IIJ DNSフィルタリングお問い合わせ窓口 受付時間：9:30-17:30（土・日・祝日を除く）

E-Mail: request-security@iij.ad.jp

（※） 原則メールでの対応とさせていただきます。

個人のお客様

電話サポート: 0570-09-4400（年中無休／9:00～19:00）

チャットサポート: 特設サイト よりお問い合わせ下さい。