本文の内容は、2025年4月4日に Sysdig Threat Research Team が投稿したブログ(https://sysdig.com/blog/detecting-fast-flux-with-sysdig-secure-and-virustotal/)を元に日本語に翻訳・再構成した内容となっております。
2025 年 4 月 3 日、国家安全保障局とその他のパートナー機関は、DNS と Fast Flux に関する重要な勧告を発表しました。潜在的な危険性から、国家安全保障上の脅威とさえ呼ばれています。この記事では、Fast Flux とは何か、Sysdig Secure がこの攻撃手法をどのように検知するかについて説明します。また、VirusTotal から潜在的な Fast Flux ドメイン名を収集する方法についても説明します。
Fast Flux とは何ですか?
Fast Flux とは、攻撃者のインフラを秘匿するために、ドメイン名が解決される IP アドレスを高速で切り替える手法です。DNS レコードには Time To Live(TTL)という設定可能な値があり、サーバーが対応する IP アドレスをどのくらいの時間キャッシュすべきかを示します。TTL のデフォルト値はさまざまですが、一般的には 1~24 時間の範囲です。
Fast Flux 技術を使用する場合、この TTL 値ははるかに短く設定されます。TTL は通常 5 分以内(場合によっては数秒)に設定され、この短い時間枠により、攻撃者は自らの Command and Control(C2)インフラの IP アドレスを継続的に変更できるようになります。
攻撃者がFast Fluxを使用する理由
攻撃者にとって、Fast Flux 技術を使用するといくつかの利点があります。
- マルウェアが C2 サーバーの所在をドメイン名で特定する場合、その IP アドレスを継続的に変更できれば、IP ブロックリストは効果を失います。
- Fast Flux により、当局やプロバイダーによってホストサーバーが停止されるのを困難にします。新しい IP アドレスは異なるネットワークや国に存在する可能性があり、調査が行われる頃にはすでに変更されていることもあります。
- この手法は攻撃者の C2 インフラの信頼性と耐障害性を向上させ、フィッシングやマルウェアを提供する悪意のあるドメインが数秒で復旧可能となります。また、脅威アクター同士が DDoS 攻撃を仕掛け合うことも一般的であり、IP アドレスを頻繁に切り替えることでこのリスクの軽減にもつながります。
Sysdig Secure による Fast Flux の検知
Sysdig Secure は、実行時に Fast Flux サーバーと通信する悪意のあるプログラムを検知できます。高度な DNS 検査を使用すると、TTL が低く、複数の IP アドレスに解決されるドメインは、Sysdig Runtime Notable Events管理ポリシーでDNS Fast Flux Activity Detectedイベントをトリガーします。Sysdig Secure は、2024 年 10 月からこの検知を行っています。
以下の例では、悪意のあるドメインの TTL は 58 秒です。
Sysdig Secure は、Fast Flux サーバーと通信しているプロセスを終了するなど、複数の応答アクションをサポートしています。このオプションは、誤検知によって通常の機能が中断される可能性があるため、注意して使用する必要があります。 正当なサーバーでも TTL 値が低い DNS レコードが使用されているため、Fast Flux の検知は困難になる可能性があります。これらのサーバーとプログラムには、例外を簡単に追加できます。
セキュリティ侵害の兆候
セキュリティ侵害の痕跡 (IoC) を使用して Fast Flux アクティビティを検知することも可能です。具体的には、VirusTotalのドメイン名です。VirusTotal Threat Intelligence の優れた機能の 1 つは、TTL を含むドメイン名に関する大量のデータを保存していることです。他の検索修飾子とともにクエリを実行して、疑わしい Fast Flux ドメイン名のリストを作成できます。
たとえば、このクエリは、TTL が 5 分以下 (10 以上のエンジンが悪意があると判断した) で、過去 1 か月以内に分析されたドメイン名 (A レコード) を提供します。
entity:domain a_ttl:300- category:malware positives:10+ last_modification_date:30d-コード言語: CSS ( css )
VirusTotal を使用すると、既存の検知を IoC で強化できます。このような静的な IoC に頼るべきではありませんが、優れた階層化防御戦略には不可欠な要素です。
Fast Flux攻撃の予防
Fast Flux は DNS システムの機能を利用するため、パッチを適用できるバグではありません。そのため、検知と対応を含む階層化された防御が重要です。Sysdig Secure などのツールを使用すると、Fast Flux を識別して予防できます。DNSセキュリティを向上させるもう 1 つの方法は、すべての DNS トラフィックを管理することでより積極的な対策を講じる Protective DNS サービスを活用することです。
Sysdig でクラウドの脅威に先手を打つ
クラウドでは、1 秒が重要です。Sysdig は、セキュリティ チームが組織の速度を低下させることなくリアルタイムで組織を保護できるように構築されました。Wireshark、Stratoshark、Falco などの世界的に認められたツールのオープン ソース レガシーから生まれた Sysdig Secure は、その精神を引き継いでいます。Sysdig脅威リサーチチーム (TRT) は、脅威インテリジェンスを積極的に発見して公開することでその精神を維持し、急速に進化するクラウド環境にセキュリティチームが対応できるように支援しています。