概要

2025年4月、アメリカ  NSA、CISA、FBI が共同で発表したサイバーセキュリティ勧告文(Fast Flux:A National Security Threat)において、「Fast-Flux Network」が主要な脅威として再び指摘された。この手法は、2007年 Storm botnet で初めて捕捉されて以来、数多くのマルウェアキャンペーンにおいて C2(Command and Control) サーバーの隠匿と検知の回避のための主要な手段として活用されてきた。

Fast-Flux は、既存のドメインベースのインフラの動作方式を悪用し、攻撃者の C2 インフラを検知しづらくしており、韓国国内外のセキュリティ企業がこれを検知して遮断するのに大きな困難を抱えている。本ブログでは、Fast-Flux 技術の動作原理と攻撃者がどのように構成するのかを確認し、実際の悪用事例について紹介する。

Fast-Flux とは

一般的なドメインベースの通信構造は、1つのドメインが一つまたは少数の固定された IP アドレスにマッピングされ、ユーザーのリクエスト時に常に同じサーバーに接続される。これにより、ユーザーは複雑な数字形式の IP アドレスを記憶する必要がなく、意味のあるドメイン名を通じて該当のサーバーと通信することができる。

[図1] ドメインを通じた IP 照会および通信構造

これに対して Fast-Flux は、攻撃者が保有するドメインが短時間に多数の IP アドレスへ変動するように DNS 設定を操作する手法である。

これにより、セキュリティ機器が IP を遮断してもすぐに新しい IP が割り当てられ、通信が維持される。DNS TTL 値を数秒から数分に設定し、当該ドメインを参照するたびに IP が変わる構造を作る。

[図2] ドメイン – IP 間のマッピング

攻撃者は Fast Flux Network を形成するために大規模なプロキシノードを運営するが、これは一般的に感染した一般ユーザー PC や、任意に生成された仮想コンテナ環境である場合もある。攻撃者が所有する多数のプロキシノードやゾンビホストが DNS 応答に参加し、ドメイン参照時にノードの IP アドレスが公開されるが、これにより実際の C2 サーバーはそれらの後ろに隠れている構造を取ることで C2 隠蔽効果も達成することができる。各プロキシノードはドメインの A レコードに設定され、実際の C2 サーバーと通信してコマンドを中継する。

Fast-Flux 手法は大きく二つの方式に区分される。DNS の A レコードのみを回転させる単一構造の Single-Flux と A レコードだけでなく NS(Name Server)レコードまでも一緒に回転させる Double-Flux に区分される。この二つは実装の複雑度と検知回避性能に違いがあり、攻撃者の目的やインフラに応じて選択的に運用される場合がある。

Single-Flux

Single-Flux は、DNS の IP リストである A レコードのみを素早く回転させる手法を意味する。ドメインは、IP リストを持続的に変更しながら応答し、各 IP は攻撃者のプロキシサーバーまたはゾンビホストに接続される。このような設定により、1 つの IP アドレスが遮断されたりダウンしたりしても、他の IP アドレスを通じてそのドメインに継続してアクセスすることができる。

[図3]は、攻撃者の観点から Single-Flux 環境を構成した例である。

[図 3] Single-Flux 構成図⁽¹⁾

Single Flux のような動作方式は、CDN(Content Delivery Networks)および Load Balancers のような動的ホスティング環境で性能向上のための合法的な目的でも使用されることがあり、防御者の観点からはこの構造のネットワークを検知しても容易には遮断できないようにしている。

ユーザーの立場からは、Fast Flux で構成されたドメインの IP 照会を行うと、どのような形式で照会されるかを確認する必要がある。そこで、仮想環境を通じた Single Flux DNS Server を構成した。[図4]のように、ドメイン「attack.lab」に対する IP 照会を行うと、ユーザーが情報をリクエストするたびに異なる IP アドレスリストが応答することを確認できる。

[図4] ドメインの IP 照会時に IP 回転

Double-Flux

Double-Flux は A レコードだけでなく、NS(Name Server) レコードまでも迅速に交換する方式で成り立っている。ドメインを解釈するネームサーバー(NameServer)自体もプロキシノードに偽装され、この二重偽装構造によって検知回避能力が高くなるという利点を持つ。実際に GameOver Zeus のような高度化したボットネットがこの方式を活用した。

[図5]は、攻撃者の観点から Double-Flux 環境を構成した例である。

[図 5] Double-Flux 構成図⁽²⁾

悪用事例

Storm botnet (2006~2007)

Storm botnetは、Fast-Flux 技術が本格的に使用された初期の事例の一つである。このボットネットは、電子メールを通じて不正なリンクを大量に配布し、ドメインに接続された IP を数百以上素早く入れ替えることで、捜査機関やセキュリティシステムの検知を困難にした。この時期から TTL を極端に低く設定した Fast-Flux 手法が本格的に登場し、この事例に関する詳細な内容は「Storm Botnet | Encyclopedia MDPI」で確認できる。

GameOver Zeus (2014)

GameOver Zeus は、金融情報を窃取する高度なマルウェアであり、単純な P2P 通信構造を越えて Fast Flux ベースの NS レコードまで周期的に回転する Double-Flux 技術を積極的に導入した。特に、感染したシステムの数が数百万台に達し、FBI と Europol が国際合同作戦を遂行してこれを解体するまで、グローバルな脅威として君臨した。GameOver Zeus の変種がドメイン生成アルゴリズム(DGA)と Fast Flux を同時に活用した事例は、Trend Micro(US)の New Zeus Gameover Employs DGA and Fast Flux Techniques レポートに詳しく記載されている。

Gamaredon (2022~2024)

ロシア系 APT 組織 Gamaredon は、2022 年から 2024 年まで Fast-Flux Network を通じて NATO 国家を対象に長期間の偵察および情報収集作戦を展開した。彼らは単純な IP 変動だけでなく、ASN および IP アドレス帯域の多様性を活用して検知を困難にさせ、長期間の運用が可能なインフラを構築した。単純なサイバー犯罪グループだけでなく、国家支援型組織が Fast-Flux を持続的に運用した事例であり、このインフラの技術的特性と運用方式に関する詳細な解析は Silent Push の From Russia with a 71: Uncovering Gamaredon’s fast flux infrastructure レポートで確認できる。

BPH Service

Bulletproof Hosting、すなわち BPH は、法執行機関またはセキュリティ機関の要請を無視し、不正な活動を支援するインターネットホスティングサービスを意味する。BPH 提供者は Fast Flux を核心サービスとして提供しており、攻撃者はこのようなサービスを不正なマーケット、フィッシングサイト、スパム送信インフラなど、様々な違法活動の基盤インフラとして活用している。

[図 6] Fast Flux サービス提供ページ⁽³⁾

彼らは顧客のサーバーを直接公開しないために「ダミーインターフェース(Dummy Interface)」を使用する。この方式は、DNS クエリに応答する中間ノードを偽りで構成し、実際の攻撃インフラは隠して中間ノードのみがブラックリストに載るように誘導する。

実際に多数の BPH サービスは、ユーザーごとに独立した IP プールを提供し、グローバルドメイン登録システムを活用してインフラの位置を全世界に分散させる。これにより、単一ノードや単一ドメインを遮断しても、全体の攻撃インフラの運営には支障がないように構成される。このような方式は Fast Flux の隠密性と回復性をさらに強化し、不正なインフラの長期運営を可能にする。

結論

Fast-Flux 手法は、単純なドメイン-IP マッピング構造を攪乱するレベルを超え、検知回避とインフラ隠蔽という目的のために精巧に構成された攻撃手法である。攻撃者は、これを通じて IP ベースの遮断回避を実現し、既存のセキュリティ体系の盲点を利用している。

これを効果的に対応するためには、検知と遮断、2つの観点からの技術的な能力を強化し、組織内部の DNS ポリシーを整備する必要がある。例えば、TTL ベースの分析、A/NS レコードの異常検知、IP 分布分析のような検知手法が活用されることがある。さらに、内部 DNS リゾルバーのポリシー変更(キャッシュ強化)、外部 DNS 使用制限、脅威インテリジェンス連携などの遮断戦略も並行して行う必要がある。

また、短期的な遮断よりは長期的なインフラ追跡と全体的なセキュリティシステム内の DNS ベースの攻撃検知能力の向上が必要であり、素早く回転するドメイン構造の中でも実体を追跡できる可視性と解析能力を養う必要がある。これにより、Fast Flux ベースの攻撃からの被害を予防できる。

出典

(1) Created with reference to Figure 1 in the contents of CSA-FAST-FLUX.PDF

(2) Created with reference to Figure 2 in the contents of CSA-FAST-FLUX.PDF

(3) Fast Flux Bulletproof Hosting Accept Bitcoin – Host’s Book