株式会社ケイ・オプティコム様（現：株式会社オプテージ様）

「DNS攻撃の最中の解析、過ぎ去ってしまった攻撃の解析ができる」
「DNS水責め攻撃のドメインがすぐに特定できるところが魅力」

株式会社ケイ・オプティコム様（現：株式会社オプテージ様。以下ケイ・オプティコムと表記）技術本部計画開発グループネットワーク技術開発チームの櫻井氏との出会いは2014年の夏にテリロジーが主催したDNSセキュリティセミナーだった。ちょうどDNS水責め攻撃（DNS Slow Drip Attack）だと思われる攻撃により、多くの通信事業者がサービスダウンや品質劣化などの被害を受けており、有効な対応策を各社が模索していた。

『以前、当社のDNSサーバが攻撃を受けて、長時間サービスに大きな影響を与えてしまったという経験がある。』

と櫻井氏は過去にDNS攻撃を受け提供サービスに影響があったことを語ってくれた。

「その対策の一つとして、攻撃のパケットを保存することを検討していた。当時は、キャプチャ装置がなかったので、DNSサーバにログインして、パケットを参照していたが、なかなか、うまくオペレーションできないのが実態だった。」

ケイ・オプティコムでは、DNSのログはもちろん、レコードタイプなどのクエリの統計情報を確認していた。しかし、統計情報やログ情報だけでは、攻撃であると断定することは難しい。本当に攻撃なのか？その確証を得るためには、パケットレベルの解析が必要になる。これが、キャプチャ装置を検討された背景だという。

『過ぎてしまった攻撃は推測しかできないという課題があり、とにかくDNSパケットを全て保存することを重視しました。』

momentum DNS viewer 導入の決め手になったのは何だったのだろうか。櫻井氏に聞いてみた。

「攻撃の最中の解析、過ぎ去ってしまった攻撃の解析という両方の目的のために導入しました。」

今までのモニタリングツールでは統計グラフは表示されるが、何か異変を発見してもパケットデータとリンクされていないため、パケットで確認できない。つまり、異変に気づいてからキャプチャを開始することになる。そのため、過ぎ去ってしまった攻撃の解析はできないという課題があった。

過去の攻撃をパケット解析するためには、パケットを一定期間取りためることで可能になるが、もう一つの大きな課題がある。キャプチャしたパケットデータの量である。膨大なパケットデータから攻撃パケットを確認するには、とにかく時間がかかるという課題があったという。

今回、導入いただいたmomentum DNS viewerは、momentum Probeがキャプチャ・保存したDNSパケットの統計データをグラフ化し、DNS通信をさまざまな切り口で調査・分析できる機能を備えている。必要なパケットデータを統計グラフからダウンロードできるため、必要なパケットデータだけを簡単に手に入れることができるという特徴がある。

この特徴、つまり、統計グラフで異変に気づいたらすぐに膨大なパケットデータから解析に必要なパケットデータだけを入手できるという特徴が、DNS攻撃の解析時間の大幅な短縮に貢献している。

実は、当初はDNSサーバのリプレースを検討していた

DNS攻撃の対処にはパケットデータが必要だと語ってくれた櫻井氏だが、意外なことに、当初はDNSサーバのリプレースを中心に検討されていた。

DNSサーバのリプレースを検討されていたにも関わらず、なぜ、DNS通信を可視化・調査するソリューションであるmomentum DNS viewerをご採用いただいたのか、その理由を当社の営業担当者に聞いてみた。

「DNSサーバのリプレースは、DNS攻撃が増えた場合、将来的に、同じ問題をお客様が抱えてしまう可能性があると思い、当社からはDNSリプレース提案とDNSトラフィックを可視化・調査するソリューションであるmomentum DNS viewerの2つのソリューションをご提案させていただきました。」と当社ビジネスイノベーション部スマート開発グループの御木は語った。

「DNS攻撃に的確に対処できればリプレースやサーバ増強を最小限に抑えることができるのでコストメリットがありますし、momentum DNS viewerがあれば、解析に必要なパケットデータだけを抽出できるという解析労力の削減メリットもあります。お客様にとって2つのメリットがあると考えていました。このメリットをご評価いただけたことが、採用の理由だと思っています。」と御木は熱く語った。

momentum DNS viewerで変わったこと。魅力について。

「momentum DNS viewerを使い始めて変わったことは、パケットを保管することで調査を継続的にできるようになったこと。そして、DNS攻撃を可視化できるようになったので、素早く対策できるようになったことですね。」

DNSのサービス品質は、インターネットサービス品質に直結している。インターネットサービス品質を劣化させる一つの要因であるDNS攻撃に対して素早く対処できること。櫻井氏は、この点がmomentum DNS viewerの導入によって大きく変わった点であるという。実際に導入してすぐにDNSサーバの脆弱性を利用した攻撃の調査に活用いただいた。グラフである特徴をもったデータに絞り込み、そのDNSパケットだけを抽出し、パケットを解析することで自社システムの安全性を素早く確認できた。今までは手作業で時間のかかっていた調査が短時間で完了し、今回の調査だけで元が取れたと喜んでいただけた。

「今までもレコードタイプなど一般的なクエリの統計情報は見ていたが、ランダマイズされたFQDNのTOP10を表示できるので、DNS水責め攻撃のドメインを特定できる点が魅力ですね。」

また、従来のモニタリングツールでは、困難なDNS水責め攻撃に対処するための情報が簡単に手に入ることは、サービス品質劣化を防止するための大きな武器となっている。

最後に、改善してほしいこと

最後に、櫻井氏にmomentum DNS viewerに機能拡張や改善要望についてお聞きしてみたところ、

「DNS攻撃に素早く気づき、対処するためには、アラート機能が欲しい。しきい値を設定して、それを超えたらメールなどで通知してくれる仕組みがあるといい。」

とmomentum DNS viewerの機能拡張の要望をいただいた。

サービス品質に直結しているDNS攻撃を一秒でも早く気づきたいという想いからいただいたご要望である。このような声を大切にすることでmomentumは日々成長していく。近日中に実現することをお伝えし、ご要望の実現に向けた活動を開始した。

※2016年1月6日にリリースされた momentum DNS viewer ver1.14.0でしきい値設定・アラート送信機能を実装しました。

このような本質を捉えた着実な仕組みづくりと運用努力が、同社のコーポレートスローガンである“光をもっと、あたなのそばに。”に込められた想いを実現する原動力の一つなのだと思う。これからも、サービス品質に責任を持つケイ・オプティコムの活動は止まることはない。

*記載されている会社名、製品名は、各社の商標もしくは登録商標です。