Fast-Flux攻撃とは？

Fast-Flux攻撃は、フィッシング詐欺などに主に使われている攻撃です。

代表的なフィッシングは、メールの本文に金融機関などに見せかけた偽のWebサイトのURLを掲載します。

そのURLをユーザにクリックさせ、誘い込んだ偽Webサイト上でカード番号や暗証番号を入力させるような手口でしたよね？

でも、攻撃者に取ってみれば、せっかく作ったフィッシング用のサイトが見つかってしまったら、閉鎖しなければなりません。

そこで考えられたのが、「Fast-Flux攻撃」です。

まず、ユーザが「http://www.mecha-security.com」というWebサイトにアクセスする時の動作を振り返ってみましょう。

1. 「www.mecha-security.com」というWebサイトがどこに存在するか
　 （IPアドレスはいくつか？）をDNSサーバに問い合わせる

2. DNSサーバは、PCへIPアドレス（1.1.1.1）を応答する。

3. PCは、「1.1.1.1」というIPアドレスへアクセスし、Webサイトを
　　参照する

これが通常のWebアクセスの流れです。

Fast-Flux攻撃では、このIPアドレスを管理しているDNSサーバを不正に運用することと、ボットネットを巧みに利用することで攻撃を実現します。

攻撃者は、例えば「www.mecha-security.com」に、IPアドレスを複数設定します。

そうすると、ある時点でのDNSへの問い合わせ時には「IP_A」だったものが、別のタイミングで問い合わせると「IP_B」だったり「IP_C」だったりします。

また、この「IP_A」「IP_B」「IP_C」といったIPアドレスは、ボットウイルスに感染したコンピュータのIPアドレスを使うことで、ユーザからの接続先はボットウイルスになります。

そうすることで、本来のフィッシング用のWebサイトの場所を隠すことにも役立てています。

このようにして、攻撃者たちは、フィッシング詐欺をビジネスとして継続させているんですね。