1.7兆のDNSリクエストがセキュリティ向上につながる理由

※ このBlog 記事は2018.5.17に執筆されたThe Akamai Blogの 記事を翻訳した内容を元に作成しています。
フィッシングサイトへのアクセス、マルウェアのダウンロード、そして標的型攻撃の脅威は日々高まっており、被害のニュースは枚挙にいとまがありません。
この様な脅威を防ぐ方法として、DNSリクエストを精査して怪しいドメインへの接続を遮断する事が有効です。
アカマイでは、1日に1.7兆を超える圧倒的な量のDNSリクエストを処理しており、これを専門のセキュリティ・インテリジェンスチームが分析する事で高い精度を誇る脅威対策を実現しています

Webを支える分散コンピューティング基盤
アカマイのグローバルプラットフォームは、134カ国、3,750カ所に配置されている24万台ものサーバーで構成されています。さらに、そのプラットフォームは毎日13億のクライアントデバイスとやり取りを行い、1年に2.5エクサバイトのデータを取り込みます。さて、これらの数字をここで取り上げたのには、重要な理由があります。
それは、この可視性こそが、インターネットに関してこれまでにない知見をアカマイに提供してくれます。機械学習エンジンにこのデータをフィードすることにより、最高水準のセキュリティとパフォーマンス能力を持つアカマイのソリューションにつながります。
アカマイの機械学習の大部分は、Bot Manager、Kona Site Defender、Enterprise Threat Protectorなどの弊社セキュリティ製品を強化する最新の脅威情報を作成するために使用されています。
Nominum社買収によるDNSセキュリティの強化
2017年11月、アカマイは世界中の大手通信事業者をサポートするDNSベースのセキュリティソリューションプロバイダー、Nominumを買収しました。両者のテクノロジーと人材を結集することで、マルウェア、ランサムウェア、フィッシング、データ窃盗などのサイバーセキュリティ上の脅威を特定、ブロック、及び、緩和するセキュリティ製品を、より多くの通信事業者やエンタープライズに対して提供して行きたいと考えています。
あっという間の6ヵ月間でしたが、統合されたセキュリティ研究チームの最初の取り組みとして、アカマイの Enterprise Threat Protectorサービスの強化についてここでお知らせすることができ、非常にうれしく思います。
では、統合された最新情報とアカマイのお客様をどうお手伝いできるのかについて、ご説明したいと思います。
世界の50%の再帰DNSリクエストを処理
アカマイは現在、通信事業者様向けに、DNSサービス(具体的には再帰DNS=rDNSサービス)を提供しています。rDNSとは、例えば「blogs.akamai.com」をブラウザに入力した時、または検索エンジンの結果のリンクをクリックした時に、あなたをこのページまで導いたものです。インターネット上で行われることは大体においてDNSクエリから始まり、このDNSクエリはアクセスしたいリソースをホストするサーバーのIPアドレスに変換されます。
アカマイは40カ国以上の130社を超えるサービスプロバイダーと協力し、1日に1.7兆件のDNSクエリ解決を行っています。つまり、毎日行われるDNSリクエストのうちの2件に1件が、アカマイのDNSテクノロジーを使用するサービスプロバイダーによって解決されている計算になるということです。
脅威対策強化への活用
さらに重要な点として、これまで膨大な量のDNSデータを分析してきた長年の実績を持つ脅威リサーチチームを統合させた結果、次の能力を有することになりました。
- 攻撃信号を特定し、既知の攻撃の種類を検証しながら、同時にまだ知られていない(新しく名前のない)悪意ある活動も検出します。これらの分析をもとに脅威情報を作成して通信事業者に配信し、それが加入者保護のために使用されます。全く新しいゼロデイ攻撃ドメインを自動的に検出して、脅威インテリジェンスリストに追加する、Domain2Vecアルゴリズムなどがその例です。
- 専任のエンタープライズセキュリティチームが出来ました。このチームでは、アカマイプラットフォームによって毎日配信されるrDNSレコードを活用して専用アルゴリズムを開発しています。例えば低スループットのDNS Exfiltration(DSNを偽装した情報の持ち出し技術)を迅速に特定できるアルゴリズムがここで開発されました。
脅威インテリジェンスの強化
2つの脅威研究チームが協力を開始してまもなく、DNSデータセットに重複がほとんどないことが分かりました。統合されたDNSデータは、北米、南米、ヨーロッパ、アジアを網羅して比類ない世界中のDNSトラフィックの可視性を提供します。これにより、ある地域で観測された脅威が、他の地域に伝播する前に、迅速にアカマイの脅威インテリジェンスに追加されます。
さらに、各チームがこれまで開発してきた研究ノウハウとアルゴリズムは素晴らしいものです。アカマイのお客様は、脅威インテリジェンスの対応範囲が大幅に向上したDNSデータにより、さらなるセキュリティ機能をご活用頂くことができます。
現在Enterprise Threat Protectorをご利用中のお客様にとって、この統合はサービス機能の大幅な向上を意味します。悪性のDNSトラフィックを事前に識別してブロックし、ご検知のセキュリティアラート率を極めて低く抑え続けることができます。
まだrDNSトラフィックのプロアクティブ監視/制御をご利用になられていない読者の皆様、弊社営業にコンタクトして頂き、貴社ネットワーク上でどのような悪意あるトラフィックが見落とされているのかをぜひチェックしてみてください!