米国 英国以外のFive Eyesが、Fast Fluxの脅威に対するアドバイザリーを公表...(2025.04.03)

こんにちは、丸山満彦です。

米国のCISA、NSAが、FBIとオーストラリアのACSC、カナダのCCCS、ニュージーランドのNCSC-NZと協力し、Fast Fluxについてのアラートを公表していますね...

Storm Worm、Conficker、Hiveなど、Fast Flux自体は2000年代初頭から使われている技術ですが、最近ではAIの活用等によって、より高度、つまり検出が難しくなってきているようですね...

 

● NSA

・2025.04.03 NSA and partners Issue Guidance on Fast Flux as a National Security Threat

NSA and partners Issue Guidance on Fast Flux as a National Security Threat	NSA とパートナーは、国家安全保障上の脅威としてのファスト・フラックスに関するガイダンスを発表した。
FORT MEADE, Md. – The National Security Agency (NSA) and partners are releasing the joint Cybersecurity Advisory (CSA), “Fast Flux: A National Security Threat,” to warn about how cyber actors are using a technique called fast flux to conceal their activities by rapidly changing the IP address associated with a domain name.	マサチューセッツ州フォートミード - 国家安全保障局（NSA）とパートナーは、サイバー脅威がドメイン名に関連する IP アドレスを急速に変更することで、活動を隠蔽するためにファストフラックスと呼ばれる技術を使用していることを警告するため、共同サイバーセキュリティ勧告（CSA）「ファストフラックス：国家安全保障上の脅威」を発表する。
The fast flux technique threatens national security as it enables cybercriminals and nation-state actors to create resilient, highly available command and control (C2) infrastructure and hide malicious activities. This infrastructure makes tracking and blocking malicious activity more difficult and can be used by threat actors to conduct espionage and obscure other cyber techniques, such as phishing campaigns and distributed denial of service attempts.	ファスト・フラックス技術は、サイバー犯罪者や国家主体がレジリエンスと可用性の高いコマンド・アンド・コントロール（C2）インフラを構築し、悪意のある活動を隠蔽することを可能にするため、国家安全保障を脅かす。このインフラは、悪意のある活動の追跡と阻止をより困難にし、脅威アクターがスパイ活動を行ったり、フィッシングキャンペーンや分散型サービス拒否の試みなど、他のサイバー技術を不明瞭にするために使用することができる。
“Fast flux is an ongoing, serious threat to national security, and this guidance shares important insight we’ve gathered about the threat,” said Dave Luber, NSA Cybersecurity Director. “It is imperative cybersecurity providers, especially Protective DNS providers, follow these guidelines to safeguard critical infrastructure and sensitive information.”	「ファスト・フラックスは、国家安全保障に対する現在進行中の深刻な脅威であり、このガイダンスは、我々が脅威について収集した重要な洞察を共有するものである。「サイバーセキュリティ・プロバイダ、特に防御DNSプロバイダは、重要インフラと機密情報を保護するために、これらのガイドラインに従うことが不可欠である。
NSA and the partnering agencies recommend cybersecurity providers implement a multi-layered approach to detection, and organizations leverage Protective DNS (PDNS) services that offer protection from fast flux enabled threats. Organizations—especially those within the Department of Defense (DoD) and Defense Industrial Base (DIB)—should use cybersecurity and PDNS services that aid in blocking malicious activity.	NSAとパートナー機関は、サイバーセキュリティ・プロバイダが検知のために多層的なアプローチを実施し、組織が高速で変化する脅威からの防御を提供する保護DNS（PDNS）サービスを活用することを推奨している。特に国防総省（DoD）および防衛産業基盤（DIB）内の組織は、悪意のある活動を阻止するのに役立つサイバーセキュリティおよびPDNSサービスを利用すべきである。
Additional co-authors are the Cybersecurity and Infrastructure Security Agency (CISA); the Federal Bureau of Investigation (FBI); the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC); the Canadian Centre for Cyber Security (CCCS); and the New Zealand National Cyber Security Centre (NCSC-NZ).	その他の共著者は、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター（ASD's ACSC）、カナダ・サイバーセキュリティセンター（CCCS）、ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）である。
Additionally, NSA offers no-cost cybersecurity services to Defense Industrial Base companies, including PDNS services.	さらに、NSAは防衛産業基盤企業に対し、PDNSサービスを含むサイバーセキュリティサービスを無償で提供している。
For further information on PDNS, see the joint guidance released by NSA and CISA, Selecting a Protective DNS Service.	PDNSの詳細については、NSAとCISAが発表した共同ガイダンス「防御DNSサービスの選択」を参照のこと。
Read the full report on Fast Flux here.	Fast Flux のレポート全文はこちら。
Visit our full library for more cybersecurity information and technical guidance.	サイバーセキュリティに関する情報や技術ガイダンスについては、当社の完全なライブラリをご覧いただきたい。

 

● CISA

・2025.04.03 CISA and Partners Issue Fast Flux Cybersecurity Advisory

CISA and Partners Issue Fast Flux Cybersecurity Advisory	CISAとパートナー、Fast Fluxサイバーセキュリティアドバイザリを発表
>Guides organizations with detecting and mitigating this national security threat	国家安全保障上の脅威を検知し緩和するための指針を示す
WASHINGTON, DC – Today, the Cybersecurity and Infrastructure Security Agency (CISA) joined the National Security Agency (NSA) and other government and international partners to release a joint Cybersecurity Advisory (CSA) that warns organizations, internet service providers (ISPs), and cybersecurity service providers about fast flux enabled malicious activities that consistently evade detection. The CSA also provides recommended actions to defend against fast flux.	ワシントン DC - 本日、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、国家安全保障局（NSA） およびその他の政府機関や国際的なパートナーとともに、組織、インターネット・サービス・プロバイダ （ISP）、サイバーセキュリティ・サービス・プロバイダに対し、一貫して検知を回避するファスト・フラックス を利用した悪意のある活動について警告する共同サイバーセキュリティ勧告（CSA）を発表した。CSA はまた、ファスト・フラックスから身を守るために推奨される対策も提示している。
An ongoing threat, fast flux networks create resilient adversary infrastructure used to evade tracking and blocking. Such infrastructure can be used for cyberattacks such as phishing, command and control of botnets, and data exfiltration. This advisory provides several techniques that should be implemented for a multi-layered security approach including DNS and internet protocol (IP) blocking and sinkholing; enhanced monitoring and logging; phishing awareness and training for users; and reputational filtering.	現在進行中の脅威であるファスト・フラックス・ネットワークは、追跡やブロッキングを回避するために使用されるレジリエンスの高い敵対的なインフラを作り出す。このようなインフラは、フィッシング、ボットネットのコマンド＆コントロール、データ流出などのサイバー攻撃に利用される可能性がある。この勧告では、DNSおよびインターネット・プロトコル（IP）のブロッキングとシンクホール、監視とロギングの強化、ユーザーに対するフィッシングの意識向上およびトレーニング、レピュテーション・フィルタリングなど、多層的なセキュリティ・アプローチのために実施すべきいくつかの技術を提示している。
"Threat actors leveraging fast flux techniques remain a threat to government and critical infrastructure organizations. Fast flux makes individual computers in a botnet harder to find and block. A useful solution is to find and block the behavior of fast flux itself,” said CISA Deputy Executive Assistant Director for Cybersecurity Matt Hartman. “CISA is pleased to join with our government and international partners to provide this important guidance on mitigating and blocking malicious fast flux activity. We encourage organizations to implement the advisory recommendations to reduce risk and strengthen resilience."	CISAサイバーセキュリティ担当副事務局長マット・ハートマンはつぎのように述べた。「ファスト・フラックスの技術を活用する脅威アクターは、依然として政府や重要インフラ組織にとって脅威である。ファスト・フラックスは、ボットネット内の個々のコンピュータを発見し、ブロックすることを困難にする。有効な解決策は、ファスト・フラックスの挙動そのものを発見し、ブロックすることです。Aは、政府や国際的なパートナーとともに、悪意のあるファストフラックスの活動を緩和し、ブロックするための重要なガイダンスを提供できることをうれしく思う。我々は、リスクを低減し、レジリエンスを強化するために、組織が勧告を実施することを奨励する。
The authoring agencies encourage ISPs, cybersecurity service providers and Protective Domain Name System (PDNS) providers to help mitigate this threat by taking proactive steps to develop accurate and reliable fast flux detection analytics and block fast flux activities for their customers.	作成機関は、ISP、サイバーセキュリティサービスプロバイダ、および防御ドメインネームシステム（PDNS）プロバイダが、正確で信頼性の高いファストフラックス検出分析を開発し、顧客のためにファストフラックス活動をブロックするための積極的な措置を講じることによって、この脅威を緩和するのを支援することを奨励する。
Additional co-sealers for this joint CSA are Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), Canadian Centre for Cyber Security (CCCS), and New Zealand National Cyber Security Centre (NCSC-NZ).	この共同CSAには、連邦捜査局（FBI）、オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター（ASD's ACSC）、カナダ・サイバー・セキュリティ・センター（CCCS）、ニュージーランド・ナショナル・サイバー・セキュリティ・センター（NCSC-NZ）も共同シーラーとして参加している。
For more information about ongoing security threats, visit CISA Cybersecurity Alerts & Advisories.	現在進行中のセキュリティ脅威の詳細については、CISAサイバーセキュリティ・アラート＆アドバイザリーを参照のこと。

 

・2025.04.03 Fast Flux: A National Security Threat

Fast Flux: A National Security Threat	ファスト・フラックス：国家安全保障上の脅威
Alert Code AA25-093A	アラート番号 AA25-093A
Executive summary	エグゼクティブサマリー
Many networks have a gap in their defenses for detecting and blocking a malicious technique known as “fast flux.” This technique poses a significant threat to national security, enabling malicious cyber actors to consistently evade detection. Malicious cyber actors, including cybercriminals and nation-state actors, use fast flux to obfuscate the locations of malicious servers by rapidly changing Domain Name System (DNS) records. Additionally, they can create resilient, highly available command and control (C2) infrastructure, concealing their subsequent malicious operations. This resilient and fast changing infrastructure makes tracking and blocking malicious activities that use fast flux more difficult.	多くのネットワークでは、「ファストフラックス」として知られる悪意のある技術を検知し、ブロックするための防御にギャップがある。この技術は、悪意のあるサイバー・アクターが常に検知を回避することを可能にし、国家安全保障に重要な脅威をもたらす。サイバー犯罪者や国家行為者を含む悪意のあるサイバー行為者は、ドメインネームシステム（DNS）レコードを急速に変更することによって、悪意のあるサーバーの位置を難読化するために高速フラックスを使用する。さらに、レジリエンスと可用性の高いコマンド・アンド・コントロール（C2）インフラを構築し、その後の悪意のある活動を隠すこともできる。このようにレジリエンスが高く、変化の速いインフラは、高速なフラックスを使用する悪意のある活動の追跡と阻止をより困難にしている。
The National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), Canadian Centre for Cyber Security (CCCS), and New Zealand National Cyber Security Centre (NCSC-NZ) are releasing this joint cybersecurity advisory (CSA) to warn organizations, Internet service providers (ISPs), and cybersecurity service providers of the ongoing threat of fast flux enabled malicious activities as a defensive gap in many networks. This advisory is meant to encourage service providers, especially Protective DNS (PDNS) providers, to help mitigate this threat by taking proactive steps to develop accurate, reliable, and timely fast flux detection analytics and blocking capabilities for their customers. This CSA also provides guidance on detecting and mitigating elements of malicious fast flux by adopting a multi-layered approach that combines DNS analysis, network monitoring, and threat intelligence.	米国家安全保障局（NSA）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、オーストラリア通信総局オーストラリアサイバーセキュリティセンター（ASD's ACSC）、カナダサイバーセキュリティセンター（CCCS）、ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）は、組織、インターネットサービスプロバイダ（ISP）、サイバーセキュリティサービスプロバイダに対し、多くのネットワークにおける防御の隙間として、高速フラックスを利用した悪意のある活動の脅威が進行していることを警告するため、この共同サイバーセキュリティ勧告（CSA）を発表する。この勧告は、サービス・プロバイダ、特に防御DNS（PDNS）・プロバイダが、正確で信頼でき、タイムリーな高速フラックスの検知分析およびブロッキング機能を顧客向けに開発するための積極的な措置を講じることにより、この脅威の緩和を支援することを奨励することを意図している。本 CSA はまた、DNS 分析、ネットワーク監視、脅威インテリジェンスを組み合わせた多層的なアプ ローチを採用することにより、悪意のある高速フラックスの要素を検知し緩和するためのガイダンスを提 供する。
The authoring agencies recommend all stakeholders—government and providers—collaborate to develop and implement scalable solutions to close this ongoing gap in network defenses against malicious fast flux activity.	作成機関は、悪意のあるファスト・フラックスの活動に対するネットワーク防御におけるこの継続的なギャップを埋めるために、すべての関係者（政府とプロバイダ）が協力して、スケーラブルなソリューションを開発し、実装することを推奨する。

 

・[PDF]