ファストフラックスとは、サイバー攻撃者が悪意のあるドメインに関連するIPアドレスを、時には数分ごとに急速に変更するために使用する手法です。この絶え間ないローテーションにより、従来のセキュリティツールでは、既知のIPやドメインのような静的な指標を使用して脅威をブロックすることが非常に困難になっています。
ファスト・フラックスは、ランサムウェア、phishing、ボットネットの運用において長年にわたって定番となっているが、依然として検知を逃れている。そのダイナミックな性質により、攻撃者は回復力のあるインフラを維持し、人目につかないようにすることができる。
今、CISA、NSA、そして国際的なサイバー防衛機関が警鐘を鳴らしている。高速フラックスはもはやエッジケースではなく、国家安全保障上の脅威の高まりであり、ほとんどの組織はそれを検知 能力を備えていない。防衛側にとって、これは1つのことを意味する。それは、静的な検知を越えて、行動に焦点を当て始める時が来たということだ。Vectra AI Platformに組み込まれているような振る舞い 分析が違いを生み出すのです。
攻撃者はいかにして高速フラックスを使って身を隠すか
ファスト・フラックスには、主にシングル・フラックスと ダブル・フラックスの2種類があり、どちらも攻撃者がセキュリティ・チームの一歩先を行くために設計されている。
- シングルフラックスとは、1つのウェブサイトやドメインが、常に変化する多数の異なるIPアドレスにリンクされていることを意味する。1つがブロックされても、攻撃者は別のIPアドレスを使うだけだ。こうすることで、たとえセットアップの一部が発見されたとしても、悪意ある作戦は実行されたままとなる。
- ダブルフラックスはさらに一歩進んでいる。IPアドレスが変わるだけでなく、そのアドレスにトラフィックを誘導するシステム(ネームサーバーと呼ばれる)も頻繁に変わる。このため、防御側はどこから悪質なトラフィックが来ているのかを把握したり、それを遮断したりすることがさらに難しくなる。
サイバー攻撃者は、さまざまな危険な活動を支援するために高速フラックスを使用している。CISAの勧告では、HiveやNefilimのようなランサムウェア・グループが、システムを隠して攻撃を長引かせるためにこのテクニックを使っていたことを取り上げている。
ファスト・フラックスはphishing 詐欺にも使われ、セキュリティ・チームが偽のウェブサイトを削除しようとしても、オンライン状態を維持する。Gamaredonと呼ばれるロシアに関連したAPTグループは、IPアドレスを使って自分たちのサーバーをブロックすることをほぼ不可能にするために高速フラックスを使用している。これと同じ仕組みは、防弾ホスティング・プロバイダー(常に変化する偽サーバーの背後に本物のサーバーを隠すことでサイバー犯罪者を保護する会社)でもよく使われている。この偽サーバーが攻撃を受け、本物の悪意のあるシステムはアクティブなまま検出されない。
従来のセキュリティ・ツールが追いつけない理由
旧式のセキュリティ・ツールのほとんどは、既知の悪質なウェブサイトやブラックリストに登録されたIPアドレスのような固定情報に依存して脅威をブロックしている。しかし、急速に変化する情報には、これらのツールでは追いつけない。
IPブロッキングが機能しない理由
ファスト・フラックス攻撃では、悪意のあるウェブサイトの背後にあるシステムが、時には数分ごとに絶えずIPアドレスを切り替えている。あるアドレスがブロックされる頃には、攻撃者はすでに新しいアドレスを使っている。モグラたたきゲームのようになり、実際に脅威を阻止することなく時間を浪費することになる。
DNSフィルタリングが苦戦する理由
セキュリティ・ツールの中には、ドメイン・アクティビティを調べることで、悪質なウェブサイトをブロックしようとするものがある。しかし、ファスト・フラックスは、ウェブサイトを高速化するためのサービス(コンテンツ・デリバリー・ネットワークと呼ばれる)など、合法的なサービスと非常によく似ていることがある。全体像を理解しないと、これらのツールは安全なトラフィックをブロックしたり、有害なサイトをすり抜けたりする可能性がある。
その結果:検出ギャップ
CISAはこの問題を明確に指摘している。攻撃者は高速な変化を利用して、制御システムをオンラインに保ち、偽のウェブサイトをホストし、テイクダウンを回避している。主な問題は、変化の速さだけではない。旧式のツールでは、疑わしい行動と正常な行動を区別できないことだ。そこで登場するのが、よりスマートなビヘイビアベースの検知だ。
Vectra AIの視点:シグネチャーではなく行動が速いフラックスを止める
攻撃者の行動を理解することだ。今日最も危険なインフラは、固定された指標に依存していない。適応し、回避し、目に見えるところに隠れる。そのため、振る舞い 検知は、高速なフラックスを使用する脅威の先を行く唯一の信頼できる方法なのです。
攻撃者の行動を理解するAI
Vectra AIプラットフォームは、従来のツールでは見逃されがちな不審な挙動を発見するように設計されています。絶えず変化するウェブサイトのアドレスやIPに対応する代わりに、ネットワーク上のデバイスがどのように動作しているかを調べます。例えばあるデバイスが奇妙なDNSリクエストを多発していないか?誰かがログインした直後に、突然データを送信したり、異常な方法でネットワーク上を移動していませんか?これらの動作は、単独では小さなものに見えるかもしれませんが、一緒になるとパターンを形成します。そしてこれらのパターンは、隠された制御システム、phishing 、ランサムウェア攻撃の開始など、より深刻な何かの初期症状であることが多いのです。
攻撃全体の進行を早期発見
ファストフラックスは、より広範な攻撃者のプレイブックの一部に過ぎません。Vectra AI Platformは、回避的なDNS動作の使用にフラグを立てるだけではありません:
- 偵察:最初のアクセス後、どの資産を狙うかを特定すること。
- 横方向への動き:内部システムを飛び越え、コントロールを拡大する。
- C2通信:高速フラックスを使ってコールホーム・チャンネルを隠す。
Vectra AIは行動に焦点を当てているため、攻撃者がこれまで見たことのないインフラを使用している場合でも、こうした脅威を早期に発見することができます。これにより、SOCチームは、ランサムウェアが展開されたり、データの流出が始まる前に、意味のある事前対策を講じることができます。要するに、私たちは攻撃者が何を使っているかを見るだけでなく、攻撃者が何をしているかを見ているのです。そうすることで、急速な変化を先取りすることができるのです。
Vectra AIが多層防御戦略を支える仕組み
AI主導 検知でファスト・フラックスのギャップを埋める ファスト・フラックスは単なる高度な攻撃者の手口ではなく、従来のセキュリティ・モデルに対する直接的な挑戦です。CISAの勧告が明らかにしているように、この手口の検知と緩和に関しては、多くの組織にまだ盲点があります。Vectra AIプラットフォームは、このギャップを埋めるのに役立ちます。静的な指標に頼るのではなく、行動を分析することで、当社のAI主導 分析が誤検知を劇的に減らし、SOCチームが真の脅威に集中して迅速に行動できるようにします。
今こそ、現在の防御が本当にファスト・フラックスの活動を検知 できるかどうかを評価する時です。ブロックリストやIPレピュテーションだけに頼った検知戦略では、検知を逃れるためにファストフラックスを使用するランサムウェア、phishing、C2通信の初期兆候を見逃している可能性があります。
これが実際にどのように機能するのか知りたいですか? Vectra AI Platformのセルフガイドツアーに参加し、シグネチャに頼ることなく、実際の攻撃シナリオでどのように高速なフラックスの挙動を検知 いるかをご覧ください。攻撃者をいち早く発見できれば、より迅速に阻止することができます。