ファストフラックスとは、サイバー攻撃者が悪意のあるドメインに関連するIPアドレスを、時には数分ごとに急速に変更するために使用する手法です。この絶え間ないローテーションにより、従来のセキュリティツールでは、既知のIPやドメインのような静的な指標を使用して脅威をブロックすることが非常に難しくなります。
ファストフラックスは長年にわたりランサムウェア、フィッシング、ボットネット攻撃の定番の攻撃手法となっていますが、依然として検出を逃れています。その動的な性質により、攻撃者は目立たない場所に潜伏したまま、回復力の高いインフラを維持することができます。
今、CISA、NSA、そして国際的なサイバー防衛機関が警鐘を鳴らしている。高速フラックスはもはやエッジケースではなく、国家安全保障上の脅威の高まりであり、ほとんどの組織にはそれを検知 能力がない。防衛側にとって、これは1つのことを意味する。それは、静的な検知を越えて、行動に焦点を当て始める時が来たということだ。そこで、(Vectra AI プラットフォームに組み込まれているような)振る舞い アナリティクスが違いを生み出します。
攻撃者はいかにしてファストフラックスを使って身を隠すのか
ファスト・フラックスには、シングル・フラックスと ダブル・フラックスという2つの主な形態があり、どちらも攻撃者がセキュリティ・チームの一歩先を行くために設計されている。
- シングルフラックスとは、1つのウェブサイトやドメインが、常に変化する多数の異なるIPアドレスにリンクされていることを意味します。1つがブロックされても、攻撃者は別のIPアドレスを使うだけです。こうすることで、たとえセットアップの一部が発見されたとしても、悪意ある作戦は実行されたままとなります。
- ダブルフラックスはさらに一歩進んでいる。IPアドレスが変わるだけでなく、そのアドレスにトラフィックを誘導するシステム(ネームサーバーと呼ばれる)も頻繁に変わります。このため、防御側はどこから悪質なトラフィックが来ているのかを把握したり、それを遮断したりすることがさらに難しくなります。
サイバー攻撃者は、さまざまな危険な活動を支援するためにファストフラックスを使用しています。CISAの勧告では、HiveやNefilimのようなランサムウェア・グループが、システムを隠して攻撃を長引かせるためにこのテクニックを使っていたことを取り上げています。
高速磁束は、次のような用途にも使われる。 フィッシング 詐欺にも使われ、セキュリティ・チームが偽のウェブサイトを削除しようとしても、オンライン状態を維持する。Gamaredonと呼ばれるロシアに関連したAPTグループは、IPアドレスを使って自分たちのサーバーをブロックすることをほぼ不可能にするために高速フラックスを使用している。これと同じ仕組みは、防弾ホスティング・プロバイダー(常に変化する偽サーバーの背後に本物のサーバーを隠すことでサイバー犯罪者を保護する企業)でもよく使われている。この偽サーバーが攻撃を受け、本物の悪意のあるシステムはアクティブなまま検出されない。
従来のセキュリティツールでは対応できない理由
ほとんどの古いセキュリティ・ツールは、脅威をブロックするために固定情報(既知の悪質なウェブサイトやブラックリストに登録されたIPアドレスなど)に依存している。しかし、高速なフラックスはその情報を素早く変化させるため、これらのツールは追いつくことができない。
IPブロッキングが機能しない理由
ファスト・フラックス攻撃では、悪意のあるウェブサイトの背後にあるシステムが、時には数分おきに、常にIPアドレスを切り替えている。あるアドレスがブロックされる頃には、攻撃者はすでに新しいアドレスを使用している。モグラたたきゲームのようになり、実際に脅威を阻止することなく時間を浪費する。
DNSフィルタリングが苦戦する理由
セキュリティ・ツールの中には、ドメイン・アクティビティを調べることで、悪質なウェブサイトをブロックしようとするものがある。しかし、ファスト・フラックスは、ウェブサイトを高速化するためのサービス(コンテンツ・デリバリー・ネットワークと呼ばれる)など、合法的なサービスと非常によく似ていることがある。全体像を理解しないと、これらのツールは安全なトラフィックをブロックしたり、有害なサイトをすり抜けてしまうかもしれない。
その結果:検出ギャップ
CISAはこの問題を明確に指摘している。攻撃者は高速な変化を利用して、制御システムをオンラインに保ち、偽のウェブサイトをホストし、従来の防御ではほとんど見えないまま、テイクダウンを回避している。主な問題は、変化の速さだけではない。旧来のツールでは、疑わしい行動と通常の行動の違いを見分けることができないことだ。そこで登場するのが、よりスマートなビヘイビアベースの検知だ。
Vectra AIの視点:シグネチャーではなく振る舞いがファストフラックスを止める
速いフラックスを検知することは、脅威情報をより多く収集することではなく、攻撃者の振る舞いを理解することである。今日最も危険なインフラは、固定された指標に依存していない。適応し、回避し、目に見えるところに隠れる。そのため、高速で変化する脅威の先を行くには、振る舞い 検知が唯一の信頼できる方法なのです。
攻撃者の振る舞いを理解するAI
Vectra AI 、従来のツールでは見逃しがちな不審な行動を検知するよう設計されています。 絶えず変化するウェブサイトアドレスやIPアドレスを追跡する代わりに、ネットワーク上のデバイスの動作を分析します。例えば:デバイスが大量の異常なDNSリクエストを送信していないか?誰かがログインした直後に、突然データを送信したり、ネットワーク上で不自然な動きをしていないか?これらの行動は単独では些細に見えますが、組み合わさるとパターンを形成します。そして、それらのパターンは、隠された制御システムやフィッシングといった、より深刻な問題の初期兆候であることがよくあります。 フィッシング サイト、あるいはランサムウェア攻撃の始まりなど、より深刻な事態の初期兆候となることがよくあります。
攻撃全体の進行を早期発見
ファストフラックスは、より広範な攻撃者のプレイブックの一部に過ぎません。Vectra AI プラットフォームは、回避的なDNS動作の使用にフラグを立てるだけでなく、次に何が起こるかをキャッチするのに役立ちます:
- 偵察:最初のアクセス後、どの資産を狙うかを特定すること。
- ラテラルムーブ:内部システムを飛び越え、コントロールを拡大する。
- C2通信:高速フラックスを使ってコールホーム・チャンネルを隠す。
Vectra AIは振る舞い分析に特化しているため、攻撃者がこれまで誰も見たことのないインフラストラクチャを使用していたとしても、これらの脅威を早期に検知できます。これにより、SOCチームはランサムウェアの展開やデータ漏洩が始まる前に、効果的な予防措置を講じることができます。つまり、攻撃者が何を使用しているかだけでなく、攻撃者が何をしているかを把握できるのです。これが、急速に変化する状況に先手を打つ方法です。
Vectra AI どのように多層防御戦略を支援するのか
AI主導 ファストフラックスのギャップを解消ファストフラックスは単なる高度な攻撃手法ではなく、従来のセキュリティモデルへの直接的な挑戦です。CISAの勧告が明らかにしているように、多くの組織ではこの戦術の検知と緩和において依然として盲点があります。Vectra AI はこのギャップを埋める支援をします。静的な指標に依存せず行動を分析する当社のAI主導 、誤検知を劇的に削減。SOCチームが真の脅威に集中し、迅速に対応することを可能にします。
今こそ、現在の防御が本当にファストフラックスの活動を検知できるかどうかを評価する時です。ブロックリストやIPレピュテーションだけに頼った検知戦略では、検知を逃れるためにファストフラックスを使用するランサムウェア、フィッシング、C2通信の初期兆候を見逃している可能性があります。
これが実際にどのように機能するのか知りたいですか? Vectra AI プラットフォームのセルフガイドツアーに参加して、シグネチャに頼ることなく、実際の攻撃シナリオでどのように高速なフラックス行動を検知 いるかをご覧ください。攻撃者の発見が早ければ早いほど、阻止も早くなります。