「Fast-Flux」を利用した高度なフィッシングテクニック（TechTarget）

　何なん年ねんか前ぜんまでは、攻撃こうげき者ものたちは犯罪はんざい的てきな金もうけかねもうけ計画けいかくの要かなめとなる重要じゅうようなマシンを1台だいか2台だいしか持っもっていないのが普通ふつうだった。このため、悪党あくとうどもはその犯罪はんざいインフラの1カ所カショあるいは2カ所カショで単一たんいつ障害しょうがい点てんを抱えるかかえることが多かっおおかった。フィッシング詐欺さぎのWebサイトが排除はいじょされる場合ばあいもあれば、スパマーのメールサーバがブラックリストに追加ついかされる可能かのう性せいもあった。またボットハーダー（ボットを操るあやつる人ひと）の場合ばあい、IRCサーバ（ボットに感染かんせんしたすべてのホストにコマンドを配布はいふする目的もくてきで多くおおくのボットネットで使わつかわれてきたサーバ）が停止ていしさせられるかもしれない。

　では、自らみずから築き上げきずきあげた犯罪はんざい帝国ていこくから何なん百ひゃく万まんドルもの大金たいきんを稼いかせいでいる今日こんにちの先進せんしん的てきなボットハーダーたちは、こういった単一たんいつ障害しょうがい点てんにどのように対処たいしょしたのだろうか――彼らかれらが用いもちいたのは「Fast-Flux」という手法しゅほうだ。

　2007年ねん夏なつ以来いらい、大おお規模きぼなFast-Fluxボットネットが爆発ばくはつ的てきに増加ぞうかした。この手法しゅほうを利用りようすれば、悪党あくとうたちは何なん千せん台だいもの「使い捨てつかいすて」のゾンビマシンを利用りようして異なることなるシステム間かんで素早くすばやく移動いどうすることにより、捜査そうさの目めをくらますことができる。捜査そうさする側そばからすれば、追跡ついせきすべきターゲットが絶えずたえず変化へんかするからだ。

●Fast-Fluxの仕組みしくみ

　一いち例れいとして、データ泥棒ドロボウが大手おおで銀行ぎんこうを装っよそったWebサーバを持っもっているというフィッシングのシナリオを考えかんがえてみよう。このマシンを「EvilServer」と呼ぶよぶことにする。IPアドレスは「w.x.y.z」とする。

　攻撃こうげき者ものはこの偽にせ銀行ぎんこうに顧客こきゃくをおびき寄せるおびきよせるために、ユーザーをだまして電子でんしメールで配信はいしんしたリンクをクリックさせようとする。このリンクは、攻撃こうげき者ものがコントロールするドメイン名めいに関連付けかんれんづけられている。このドメイン名めいを「www.fakebank.com」としよう（この名前なまえではユーザーをだますことはできないだろうが、そこは大目おおめに見みていただきたい）。

　通常つうじょうのフィッシング攻撃こうげきでは、リンクに含まふくまれる名前なまえ（www.fakebank.com）は、w.x.y.z（EvilServerのアドレス）に解決かいけつされる。このため、ユーザーがこのリンクをクリックすると、EvilServerに直接ちょくせつ接続せつぞくすることになる。しかしFast-Fluxでは、www.fakebank.comはいかなる形なりでもEvilServerを参照さんしょうしない。

　というのは、www.fakebank.comに関連かんれんしたDNSサーバは、ラウンドロビンDNSと呼ばよばれる手法しゅほうを用いるもちいるからだ。ラウンドロビンDNSは、1つの名前なまえに対するにたいするDNSクエリへの応答おうとうとして多数たすうのIPアドレス（5つ以上いじょうの場合ばあいが多いおおい）を返すかえすことができる。ラウンドロビンDNSそのものが悪いわるいわけではない。これは複数ふくすうのサーバ間かんで負荷ふかを分散ぶんさんするために開発かいはつされた技術ぎじゅつだ。しかし、Fast-FluxはラウンドロビンDNSを悪用あくようしてwww.fakebank.comに対してにたいして複数ふくすうの応答おうとうを返しかえし、このサイトに複数ふくすうのIPアドレスを対応付けるたいおうづけることができる。これらのアドレスを「a.b.c.d」「e.f.g.h」「i.j.k.l」などと呼ぶよぶことにする。

　そして、ユーザーがwww.fakebank.comというリンクをクリックすると、ユーザーのブラウザはこれらのIPアドレスの1つに対応たいおうしたWebサーバに接続せつぞくしようとする。しかし、これらのアドレスに対応たいおうしたマシンは実際じっさいにはボットに感染かんせんしたマシンで、透過とうか型かたWebプロキシを動作どうささせている。Webリクエストを受信じゅしんすると、感染かんせんマシン上じょうで動作どうさしている各かくWebプロキシはw.x.y.zにあるEvilServerにリクエストを送信そうしんする。

　だがそれだけでは終わらおわらない──何しろなにしろこの手法しゅほうは「Fast-Flux」（急速きゅうそくな流転るてん）と呼ばよばれているのだ。攻撃こうげき者ものはラウンドロビンDNSレコードのTTL（TimeToLive）を非常ひじょうに小さなちいさな値あたいに設定せっていできる（DNSのTTLとは、DNSクライアントが廃棄はいきされるまでの間ま、レコード内ないに保持ほじされる時間じかんを示すしめす）。悪党あくとうがFast-Fluxを利用りようすれば、DNSレコードを素早くすばやく時間切れじかんぎれにできる（TTLが3〜から10分ぶに設定せっていされることが多いおおい）。それだけでなく、彼らかれらはプロキシとして機能きのうするほかのボット感染かんせんマシンのIPアドレスを使っつかって、新しいあたらしいDNSエントリを絶えずたえず追加ついかするのだ。

　DNSとプロキシを利用りようしたこの技ぎは、捜査そうさ員いんがEvilServerを見つけるみつけるのを難しくむずかしくする。例えばたとえばa.b.c.dというIPアドレスにあるマシンを停止ていしするよう各かくISPに要請ようせいしても、それはWebプロキシが動作どうさしているユーザーの感染かんせんマシンであり、実際じっさいの偽にせ銀行ぎんこうではない。

　捜査そうさ員いんがISPを説得せっとくしてa.b.c.dへのトラフィックを遮断しゃだんさせたとする。しかし、彼かれがそのリンクを再びふたたびクリックすると、今度こんどはe.f.g.hに移動いどうし、偽にせ銀行ぎんこうがまだそこに存在そんざいすることを知るしるのだ。捜査そうさ員いんはもぐらたたきのように多数たすうのプロキシを次々つぎつぎとつぶしていくことはできるが、悪党あくとうは短いみじかいTTLでIPアドレスを補充ほじゅうし続けつづけ、これらのアドレスを順番じゅんばんにwww.fakebank.comという名前なまえに割り振るわりふるのだ。

　それならば、捜査そうさ員いんは悪党あくとうがwww.fakebank.comの名前なまえ解決かいけつに用いもちいているDNSサーバを停止ていしさせればいいのではないだろうか。しかし、こういった停止ていし要求ようきゅうを無視むしする企業きぎょうが提供ていきょうしている商用しょうようDNSサービスを利用りようしている悪党あくとうもいる。それに、Fast-Fluxを利用りようする攻撃こうげき者ものは、サイバー犯罪はんざい法ほうが甘いあまい（あるいは存在そんざいしない）国こくのISPを選ぶえらぶものだ。また、攻撃こうげき者ものたちはそのドメインに対してにたいして権威けんいを持つもつDNSサーバを絶えずたえず変えるかえるようにFast-Flux手法しゅほうに工夫くふうを加えくわえたりしているのだ。

●エンタープライズ環境かんきょうでのFast-Flux攻撃こうげきの調査ちょうさ

　大抵たいていの企業きぎょうは、自社じしゃに対してにたいしてFast-Flux手法しゅほうが使わつかわれているかどうかなど知るしる必要ひつようはない。フィッシングおよびボット全般ぜんぱんに対処たいしょするだけで十分じゅうぶんだ。すなわち、以下いかのような対策たいさくを講じれこうじればいいのだ。

・不正ふせいなリンクをクリックしないようユーザーを教育きょういくする

・パッチおよびウイルスシグネチャを更新こうしんする

・ファイアウォールを出入りでいりするネットワークトラフィックを制限せいげんする

　とはいえ、Fast-Flux攻撃こうげき手法しゅほうが用いもちいられている可能かのう性せいをどうしても調べしらべたいのであれば、その方法ほうほうを幾ついくつか紹介しょうかいしよう。「DNSstuffTools」にアクセスし、フィッシングメールのURLを「Deobfuscator」フィールドにペーストする。このシンプルなWebアプリケーションは、不自然ふしぜんにエンコードされたURLを人間にんげんが理解りかいしやすいURLに変換へんかんする。

　次じに、変換へんかんによって明確めいかくにされたURLからドメイン名めいを取り出しとりだし、それに関連かんれんしたIPアドレスを調べるしらべる。これにはDNSstuffの「DNSLookup」オプションを利用りようすればいい。もし多数たすうのアドレスレコード（「A」レコード）がまったく同じおなじ名前なまえに対応たいおうしていれば、何らかのなんらかの形なりのラウンドロビンDNSが利用りようされている可能かのう性せいが高いたかいということだ。また、TTLフィールドも調べるしらべること。600（10分ぶ）以下いかの低いひくい値あたいに設定せっていされていれば怪しいあやしいといえる。しかし、正規せいきの銀行ぎんこうでもラウンドロビンDNSと短いみじかいTTLを使用しようしている場合ばあいがある。Fast-Fluxが使用しようされているかどうか確認かくにんするには、10分ぶ後のちに再度さいどDNSLookupを行いおこない、まったく新しいあたらしいアドレスレコード／IPアドレスのセットが表示ひょうじされるかチェックすればいい。

　WindowsにはDNSレコードを分析ぶんせきするためのツールが組み込まくみこまれている。このツールを使うつかうには、マシンのDNSキャッシュにドメイン名めいを読み込まよみこませる。これには、ドメイン名めいに対してにたいしてpingを実行じっこうする（例えばたとえば、「pingwww.fakebank.com」という具合ぐあいだ）。

　DNSキャッシュにレコードを読み込まよみこませたら、「ipconfig/displaydns」コマンドを実行じっこうしてレコードを表示ひょうじさせる。キャッシュには各かくドメインレコードのTTL値ねが含まふくまれているはずだ。このコマンドを1〜から2秒びょうごとに繰り返しくりかえし実行じっこうすれば、TTL値ねが減少げんしょうするのが分かるわかる。分析ぶんせきの焦点しょうてんを絞るしぼるためにエントリを消去しょうきょするには、「ipconfig/flushdns」を実行じっこうする。次につぎに、目的もくてきのホストに再びふたたびpingを実行じっこうしてそれをキャッシュに読み込まよみこませた上じょうで、「ipconfig/displaydns」を実行じっこうする。

　レコードのTTLが小さなちいさな数かずであれば、そのIPアドレスを記録きろくした後のち、レコードが時間切れじかんぎれになるまで待ちまち、再びふたたびターゲットに対してにたいしてpingを実行じっこうする。キャッシュ内ないのIPアドレスが絶えずたえず変化へんかするようであれば、Fast-Flux環境かんきょうに遭遇そうぐうした可能かのう性せいがある。

　さらに詳しくくわしく調べるしらべるには、「DNSstufftools」サイトに戻りもどり、そこにある「Whois」検索けんさくツールを利用りようする。Whois検索けんさくは必ずしもかならずしも正確せいかくとは限らかぎらないが、所与しょよのドメイン名めいやIPアドレスに関連かんれんした人々ひとびと、場所ばしょ、組織そしきに関するにかんする情報じょうほうを提供ていきょうしてくれる。

　Whoisツールにドメイン名めいを入力にゅうりょくし、きちんとした結果けっかが返さかえされるかどうか確認かくにんする。信頼しんらいできる組織そしきに対してにたいして古くふるくから登録とうろくされているドメイン名めいなのか、それとも多くおおくの信頼しんらいできる銀行ぎんこうをホスティングしているという話はなしは聞かきかない遠いとおい国くにの企業きぎょうに対してにたいして最近さいきん登録とうろくされたドメイン名めいなのか、といったことをチェックするのだ。「ipconfig/displaydns」のIPアドレスにWhois検索けんさくをかけることもできる。コンシューマーを対象たいしょうとしたISPに関連かんれんした多数たすうのエントリが見つかっみつかった場合ばあいには、これらのシステムはISPのネットワーク上じょうでボットに感染かんせんしたホストである可能かのう性せいが高いたかい。ボットネットの可能かのう性せいがある場合ばあいは、ISPに報告ほうこくするか、新たあらたなフィッシング攻撃こうげきに強いつよい関心かんしんを抱いだいているAPWG（Anti-PhishingWorkingGroup）に報告ほうこくすべきだ。

　メタモーフィック型かたマルウェアの脅威きょうい

　スパイウェアとの戦いたたかいにUTMアプライアンスを活用かつようする

　そのサイト、本物ほんものですか？――電子でんし証明しょうめい書しょで顧客こきゃくの信頼しんらいを勝ち取れかちとれ