CISAが国家的脅威として高速流転を警告:あなたはカバーされていますか?

2025年4月29日
Lucie Cardiet
サイバー脅威リサーチマネージャー
CISAが国家的脅威として高速流転を警告:あなたはカバーされていますか?

ファストフラックスとは、サイバー攻撃者が悪意のあるドメインに関連するIPアドレスを、時には数分ごとに急速に変更するために使用する手法です。この絶え間ないローテーションにより、従来のセキュリティツールでは、既知のIPやドメインのような静的な指標を使用して脅威をブロックすることが非常に難しくなります。

ファストフラックスは長年にわたりランサムウェア、フィッシング、ボットネット攻撃の定番の攻撃手法となっていますが、依然として検出を逃れています。その動的な性質により、攻撃者は目立たない場所に潜伏したまま、回復力の高いインフラを維持することができます。

今、CISA、NSA、そして国際的なサイバー防衛機関が警鐘を鳴らしている。高速フラックスはもはやエッジケースではなく、国家安全保障上の脅威の高まりであり、ほとんどの組織にはそれを検知 能力がない。防衛側にとって、これは1つのことを意味する。それは、静的な検知を越えて、行動に焦点を当て始める時が来たということだ。そこで、(Vectra AI Platformに組み込まれているような)振る舞い アナリティクスが違いを生み出します。

攻撃者はいかにしてファストフラックスを使って身を隠すのか

ファスト・フラックスには、シングル・フラックスと ダブル・フラックスという2つの主な形態があり、どちらも攻撃者がセキュリティ・チームの一歩先を行くために設計されている。

  • シングルフラックスとは、1つのウェブサイトやドメインが、常に変化する多数の異なるIPアドレスにリンクされていることを意味します。1つがブロックされても、攻撃者は別のIPアドレスを使うだけです。こうすることで、たとえセットアップの一部が発見されたとしても、悪意ある作戦は実行されたままとなります。
  • ダブルフラックスはさらに一歩進んでいる。IPアドレスが変わるだけでなく、そのアドレスにトラフィックを誘導するシステム(ネームサーバーと呼ばれる)も頻繁に変わります。このため、防御側はどこから悪質なトラフィックが来ているのかを把握したり、それを遮断したりすることがさらに難しくなります。

サイバー攻撃者は、さまざまな危険な活動を支援するためにファストフラックスを使用しています。CISAの勧告では、HiveやNefilimのようなランサムウェア・グループが、システムを隠して攻撃を長引かせるためにこのテクニックを使っていたことを取り上げています。

ファスト・フラックスはphishing 詐欺にも使われ、セキュリティ・チームが偽のウェブサイトを削除しようとしても、オンライン状態を維持する。Gamaredonと呼ばれるロシアに関連したAPTグループは、IPアドレスを使って自分たちのサーバーをブロックすることをほぼ不可能にするために高速フラックスを使用している。これと同じ仕組みは、防弾ホスティング・プロバイダー(常に変化する偽サーバーの背後に本物のサーバーを隠すことでサイバー犯罪者を保護する企業)でもよく使われている。この偽サーバーが攻撃を受け、本物の悪意のあるシステムはアクティブなまま検出されない。

従来のセキュリティツールでは対応できない理由

ほとんどの古いセキュリティ・ツールは、脅威をブロックするために固定情報(既知の悪質なウェブサイトやブラックリストに登録されたIPアドレスなど)に依存している。しかし、高速なフラックスはその情報を素早く変化させるため、これらのツールは追いつくことができない。

IPブロッキングが機能しない理由

ファスト・フラックス攻撃では、悪意のあるウェブサイトの背後にあるシステムが、時には数分おきに、常にIPアドレスを切り替えている。あるアドレスがブロックされる頃には、攻撃者はすでに新しいアドレスを使用している。モグラたたきゲームのようになり、実際に脅威を阻止することなく時間を浪費する。

DNSフィルタリングが苦戦する理由

セキュリティ・ツールの中には、ドメイン・アクティビティを調べることで、悪質なウェブサイトをブロックしようとするものがある。しかし、ファスト・フラックスは、ウェブサイトを高速化するためのサービス(コンテンツ・デリバリー・ネットワークと呼ばれる)など、合法的なサービスと非常によく似ていることがある。全体像を理解しないと、これらのツールは安全なトラフィックをブロックしたり、有害なサイトをすり抜けてしまうかもしれない。

その結果:検出ギャップ

CISAはこの問題を明確に指摘している。攻撃者は高速な変化を利用して、制御システムをオンラインに保ち、偽のウェブサイトをホストし、従来の防御ではほとんど見えないまま、テイクダウンを回避している。主な問題は、変化の速さだけではない。旧来のツールでは、疑わしい行動と通常の行動の違いを見分けることができないことだ。そこで登場するのが、よりスマートなビヘイビアベースの検知だ。

Vectra AIの視点:シグネチャーではなく振る舞いがファストフラックスを止める

速いフラックスを検知することは、脅威情報をより多く収集することではなく、攻撃者の行動を理解することである。今日最も危険なインフラは、固定された指標に依存していない。適応し、回避し、目に見えるところに隠れる。そのため、高速で変化する脅威の先を行くには、振る舞い 検知が唯一の信頼できる方法なのです。

攻撃者の振る舞いを理解するAI

Vectra AIプラットフォームは、従来のツールでは見逃されがちな不審な挙動を発見するように設計されています。絶えず変化するウェブサイトのアドレスやIPに対応する代わりに、ネットワーク上のデバイスがどのように動作しているかを調べます。例えばあるデバイスが奇妙なDNSリクエストを多発していないか?誰かがログインした直後に、突然データを送信したり、異常な方法でネットワーク上を移動していませんか?これらの挙動は、単独では小さなものに見えるかもしれないが、一緒になるとパターンを形成する。そしてこれらのパターンは、隠れた制御システム、phishing 、ランサムウェア攻撃の開始など、より深刻な何かの初期兆候であることが多い。

攻撃全体の進行を早期発見

ファストフラックスは、より広範な攻撃者のプレイブックの一部に過ぎません。Vectra AI Platformは、回避的なDNS動作の使用にフラグを立てるだけでなく、次に何が起こるかをキャッチするのに役立ちます:

  • 偵察:最初のアクセス後、どの資産を狙うかを特定すること。
  • ラテラルムーブ:内部システムを飛び越え、コントロールを拡大する。
  • C2通信:高速フラックスを使ってコールホーム・チャンネルを隠す。

Vectra AIは挙動に焦点を当てているため、攻撃者がこれまでに見たことのないインフラを使用している場合でも、こうした脅威を早期に発見することができます。これにより、SOCチームは、ランサムウェアが展開されたり、データの流出が始まる前に、意味のあるプロアクティブなアクションを取ることができます。要するに、私たちは攻撃者が何を使っているかを見るだけでなく、攻撃者が何をしているかを見るのです。そうすることで、急速な変化を先取りすることができるのです。

ガマレドン攻撃時のVectra AIの検知結果

Vectra AIが多層防御戦略を支える仕組み

レイヤード・ディフェンス能力(CISAによる) Vectra AIの付加価値
DNSクエリのリアルタイム異常検知 Vectra AIは、DNSトラフィックを継続的に分析し、TTL値の低さ、過剰なドメイン検索、IPチャーンの多さなど、高速なフラックス・アクティビティの特徴である異常を検出します。
異常な通信パターンを特定するための振る舞い分析 このプラットフォームは、疑わしいDNSの挙動を、ビーコン、横方向への移動、クレデンシャルの不正使用などの広範なパターンと関連付け、アクティブな脅威の早期段階での検出を可能にします。
レスポンス 時間を改善するためのコラボレーションと脅威情報の共有 Vectra AIは、脅威インテリジェンス・プラットフォーム、SOAR、SIEMツールと統合し、コンテキストに富んだアラートを共有し、レスポンス 自動化することで、封じ込めまでの時間を短縮します。

AI主導 検知でファスト・フラックスのギャップを埋める ファスト・フラックスは単なる高度な攻撃者の手口ではなく、従来のセキュリティ・モデルに対する直接的な挑戦です。CISAの勧告が明らかにしているように、この手口の検知と緩和に関して、多くの組織にはまだ盲点があります。Vectra AIプラットフォームは、このギャップを埋めるのに役立つ。静的な指標に頼るのではなく、行動を分析することで、当社のAI主導 分析が誤検知を劇的に減らし、SOCチームが真の脅威に集中して迅速に行動できるようにします。

今こそ、現在の防御が本当にファストフラックスの活動を検知できるかどうかを評価する時です。ブロックリストやIPレピュテーションだけに頼った検知戦略では、検知を逃れるためにファストフラックスを使用するランサムウェア、フィッシング、C2通信の初期兆候を見逃している可能性があります。

これが実際にどのように機能するのか知りたいですか? Vectra AI Platformのセルフガイドツアーに参加して、シグネチャに頼ることなく、実際の攻撃シナリオでどのように高速なフラックス行動を検知 いるかをご覧ください。攻撃者の発見が早ければ早いほど、阻止も早くなります。

よくあるご質問(FAQ)