CISA、国家的脅威としてファストフラックスを警告:対策はできていますか?

2025年4月29日
Lucie Cardiet
プロダクト・マーケティング・マネージャー
CISA、国家的脅威としてファストフラックスを警告:対策はできていますか?

ファストフラックス (Fast flux) は、攻撃者が悪意あるドメインに関連付けられたIPアドレスを数分単位で素早く切り替える手法です。このIPアドレスの常時入れ替えにより、既知のIPやドメインといった静的なインジケーターをもとにブロックする従来のセキュリティでは、脅威の封じ込めが非常に困難になります。

ファストフラックスは長年にわたりランサムウェア、フィッシング、ボットネット攻撃の定番の攻撃手法となっていますが、依然として検出を逃れています。その動的な性質により、攻撃者は目立たない場所に潜伏したまま、回復力の高いインフラを維持することができます。

今、CISA、NSA、そして国際的なサイバー防衛機関が警鐘を鳴らしています。ファストフラックスはもはや一部の特殊なケースではなく、国家安全保障を脅かすレベルの拡大中の脅威であり、多くの組織が検知できる体制を整えていないのです。この脅威に立ち向かうには、「静的な検知」から脱却し、「振る舞いベースの検知」へのシフトが必要です。そこで重要な役割を果たすのが、Vectra AIプラットフォームに組み込まれた振る舞い分析です。

攻撃者はいかにしてファストフラックスを使って身を隠すのか

ファストフラックスには、主にシングルフラックスダブルフラックスの2種類があり、どちらも攻撃者がセキュリティチームの一歩先を行くために設計されている。

  • シングルフラックスとは、1つのウェブサイトやドメインが、常に変化する多数の異なるIPアドレスにリンクされていることを意味します。1つがブロックされても、攻撃者は別のIPアドレスを使うだけです。こうすることで、たとえセットアップの一部が発見されたとしても、悪意ある作戦は実行されたままとなります。
  • ダブルフラックスはさらに一歩進んでいる。IPアドレスが変わるだけでなく、そのアドレスにトラフィックを誘導するシステム(ネームサーバーと呼ばれる)も頻繁に変わります。このため、防御側はどこから悪質なトラフィックが来ているのかを把握したり、それを遮断したりすることがさらに難しくなります。

サイバー攻撃者は、さまざまな危険な活動を支援するためにファストフラックスを使用しています。CISAの勧告では、HiveやNefilimのようなランサムウェア・グループが、システムを隠して攻撃を長引かせるためにこのテクニックを使っていたことを取り上げています。

ファストフラックスは、フィッシング詐欺にも利用され、セキュリティチームが削除を試みても偽ウェブサイトをオンラインに保ちます。ロシアと関係のあるAPTグループGamaredonは、ファストフラックスを利用して、IPアドレスを使ったサーバーブロックをほぼ不可能にしています。これと同じ仕組みは、防弾ホスティングプロバイダー(常に変化する偽のサーバーを隠蔽することでサイバー犯罪者を保護する企業)でもよく利用されています。これらの偽サーバーが攻撃を受け、本物の悪意あるシステムはアクティブのまま検知されずに活動を続けるのです。

従来のセキュリティツールでは対応できない理由

旧式のセキュリティツールのほとんどは、既知の悪質なウェブサイトやブラックリストに登録されたIPアドレスのような固定情報に依存して脅威をブロックしています。しかし、急速に変化する情報には、これらのツールでは追いつけません。

IPブロッキングが機能しない理由

ファストフラックス攻撃では、悪意のあるウェブサイトの背後にあるシステムがIPアドレスを絶えず切り替えます。時には数分ごとに切り替えられることもあります。あるアドレスがブロックされる頃には、攻撃者はすでに新しいアドレスを使用しているのです。これはまるでモグラ叩きのゲームのように、脅威を実際に阻止することなく時間を浪費することになります。

DNSフィルタリングが苦戦する理由

一部のセキュリティツールは、ドメインアクティビティを監視して不正なウェブサイトをブロックしようとします。しかし、ファストフラックスは、ウェブサイトの高速化に使用されるコンテンツ配信ネットワークなどの正規のサービスと非常によく似ている場合があります。全体像を理解していないと、これらのツールは安全なトラフィックをブロックしたり、有害なサイトを見逃したりする可能性があります。

その結果:検出ギャップ

CISAはこの問題を明確に指摘しています。攻撃者は高速な変化を利用して、制御システムをオンラインに保ち、偽のウェブサイトをホストし、テイクダウンを回避している。主な問題は、変化の速さだけではありません。旧式のツールでは、疑わしい行動と正常な振る舞いを区別できないことだ。そこで登場するのが、よりスマートな振る舞いベースの検知です。

Vectra AIの視点:シグネチャーではなく振る舞いがファストフラックスを止める

ファストフラックスの検知は、脅威インテリジェンスをより多く収集することではなく、攻撃者が何をしているのかを理解することです。今日最も危険なインフラは、固定された指標に頼っていません。適応し、回避し、そして明白な視界に隠れています。だからこそ、ファストフラックスを利用する脅威に先手を打つ唯一の確実な方法は、行動検知なのです。

攻撃者の振る舞いを理解するAI

Vectra AI Platformは、従来のツールでは見逃されがちな不審な行動を検知するように設計されています。絶えず変化するウェブサイトのアドレスやIPアドレスに対応するのではなく、ネットワーク上のデバイスの動作を解析します。例えば、デバイスが不審なDNSリクエストを頻繁に送信していないか?誰かがログインした直後に突然データを送信したり、ネットワーク内を通常とは異なる方法で移動したりしていないか?これらの行動は、単体では小さなものに見えるかもしれませんが、全体としてパターンを形成します。そして、これらのパターンは、隠された制御システム、フィッシングサイト、ランサムウェア攻撃の兆候など、より深刻な問題の初期兆候となることがよくあります。

攻撃全体の進行を早期発見

ファストフラックスは、より広範な攻撃者のプレイブックの一部に過ぎません。Vectra AI Platformは、回避的なDNS動作の使用にフラグを立てるだけではありません。

  • 偵察:最初のアクセス後、どの資産を狙うかを特定すること。
  • ラテラルムーブ:内部システムを飛び越え、コントロールを拡大する。
  • C2通信:高速フラックスを使ってコールホーム・チャンネルを隠す。

Vectra AIは振る舞いに着目するため、攻撃者が未知のインフラを利用している場合でも、これらの脅威を早期に発見できます。これにより、SOCチームは、ランサムウェアの展開やデータ窃取が始まる前に、効果的かつプロアクティブな対策を講じることができます。つまり、攻撃者が何を使用するかだけでなく、何をするかまで把握しているのです。これが、急速な変化に先手を打つ秘訣です。

ガマレドン攻撃時のVectra AIの検知結果

Vectra AIが多層防御戦略を支える仕組み

レイヤード・ディフェンス能力(CISAによる) Vectra AIの付加価値
DNSクエリのリアルタイム異常検知 Vectra AIは、DNSトラフィックを継続的に分析し、TTL値の低さ、過剰なドメイン検索、IPチャーンの多さなど、高速なフラックス・アクティビティの特徴である異常を検出します。
異常な通信パターンを特定するための振る舞い分析 このプラットフォームは、疑わしいDNSの挙動を、ビーコン、横方向への移動、クレデンシャルの不正使用などの広範なパターンと関連付け、アクティブな脅威の早期段階での検出を可能にします。
レスポンス 時間を改善するためのコラボレーションと脅威情報の共有 Vectra AIは、脅威インテリジェンス・プラットフォーム、SOAR、SIEMツールと統合し、コンテキストに富んだアラートを共有し、レスポンス 自動化することで、封じ込めまでの時間を短縮します。

AI主導の検知でファストフラックスのギャップを埋める ファストフラックスは単なる高度な攻撃者の手口ではなく、従来のセキュリティモデルに対する直接的な挑戦です。CISAの勧告が明らかにしているように、この手口の検知と緩和に関しては、多くの組織にまだ盲点があります。Vectra AIプラットフォームは、このギャップを埋めるのに役立ちます。静的な指標に頼るのではなく、振る舞いを分析することで、当社のAI主導の分析が誤検知を劇的に減らし、SOCチームが真の脅威に集中して迅速に行動できるようにします。

今こそ、現在の防御が本当にファストフラックスの活動を検知できるかどうかを評価する時です。ブロックリストやIPレピュテーションだけに頼った検知戦略では、検知を逃れるためにファストフラックスを使用するランサムウェア、フィッシング、C2通信の初期兆候を見逃している可能性があります。

これが実際にどのように機能するのか体験したい場合は、 Vectra AI Platformのセルフガイドツアーに参加し、シグネチャに頼ることなく、実際の攻撃シナリオでどのようにファストフラックスの挙動を検知 いるかをご覧ください。攻撃者をいち早く発見できれば、より迅速に阻止することができます。

よくあるご質問(FAQ)