攻撃者の防御手法「ファストフラックス」とは何か？ 詳細を解説：Cybersecurity Dive

FBIらは、サイバー脅威グループらが好んで使う手法「ファストフラックス」について解説した。攻撃者たちはこれを使うことで法執行機関などによるテイクダウンを回避する狙いがあるとみられる。

[David Jones，Cybersecurity Dive]

　米国連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）、国際的なパートナーグループは2025年4月3日（現地時間、以下同）、サイバー脅威グループが「ファストフラックス」と呼ばれる技術を使用して悪質なサーバの場所を隠しており（注1）、国家安全保障に対して重大な脅威をもたらしていると警告した。

攻撃者が使う厄介な技術“ファストフラックス”　そのメリットとは？

　ファストフラックスはドメイン名とその関連情報を管理するためのデータであるDNSレコードを高速で変更し、サーバの場所を隠す手法だ。これによって法執行機関などによるテイクダウンを回避する他、特にbotネットに関連して悪質な操作を隠すために耐障害性に優れたコマンド＆コントロール（C2）サーバを構築できる。

　ファストフラックスはC2の通信だけでなく、フィッシングキャンペーンにも使用され、ソーシャルエンジニアリング攻撃のためのWebサイトがブロックされたり削除されたりするのを防ぐ役割も果たしているようだ。

　現時点で、当局はファストフラックスを使用している具体的なキャンペーンや攻撃者について明言しなかった。しかし過去の活動に言及しており、「Hive」や「Nefilim」に関連する過去のランサムウェア攻撃でファストフラックスが使用された旨を指摘した。さらに、アドバイザリには、ロシアから支援を受ける攻撃者「Gamaredon」も、脅威活動を隠すためにファストフラックスを使用していると記載されている。

　Palo Alto Networkの脅威研究チーム「Unit 42」で脅威インテリジェンスを担当するアンディ・ピアッツァ氏（シニアディレクター）は「ファストフラックスは脅威活動の検出を高コストかつ困難にする技術であり、セキュリティ運用チームにさらなる負荷をかける手法だ」と述べた。

　ピアッツァ氏は「ロシアによるウクライナ侵攻の初期に、脅威グループ『Trident Ursa』によってファストフラックスが使用された」と述べた（注2）。

　同氏によると、ファストフラックスによって攻撃者は毎分当たり何百回もドメインを変更し、インフラを素早く変更できるという。

　「SOCによる攻撃の調査やブロック、先手を打つ対策が非常に難しくなり、時間もコストもかかる」（ピアッツァ氏）

　アドバイザリによると、この技術には「シングルフラックス」と「ダブルフラックス」の2つのバリエーションがある。シングルフラックスでは、1つのドメイン名が複数のIPアドレスに関連付けられる。ダブルフラックスでは、ドメイン名だけでなく、ドメインネームシステム（DNS）のサーバも変更される。

　当局はこの活動を検出し、緩和するための幾つかの手順を提案している。

• DNSのクエリログに関する異常を検出するシステムを実装する
• 脅威インテリジェンスフィードを使用して、ファストフラックスに関連する既知のドメインやIPアドレスを識別する
• DNSにおけるトラフィックのログ記録と監視を強化する
• 悪質なドメインに対してシンクホールを検討する

（注1）Fast Flux: A National Security Threat（Cybersecurity Advisory）
（注2）Russia’s Trident Ursa (aka Gamaredon APT) Cyber Conflict Operations Unwavering Since Invasion of Ukraine（UNIT42）

原文へのリンク