TokyoBlackHatNews

silentpush.com 9分で読了

Silent Pushのトラフィック起点データをレジデンシャルプロキシデータと組み合わせることで、不審な中国製VPNを暴く

Silent PushのTraffic Originは、脅威アクターの真の発信国を特定するのに役立つ洞察を明らかにします。これは、防御側が通常は得られない可視性です。当社は独自のグローバル観測ネットワークを用いてトラフィックシグナルを分析し、プラットフォームがIPアドレスに関連する国 を特定できるようにしています。これにより、プロキシサーバーが置かれている場所ではなく、トラフィックの真の 物理的な起点が明らかになります。

Traffic Originは、企業が世界中の脅威アクターを即座に見抜くために利用できる重要なエンリッチメント機能を提供し、悪意ある行動に光を当てます。たとえば、北朝鮮のIT労働者がレジデンシャルプロキシを使って実際の物理的位置を隠しながら不正な雇用を得ようとするケースなどです。顧客はTraffic Originを用いて従業員ログインを自動評価し、IPアドレスが想定外の場所や懸念国からのトラフィックを隠蔽している場合を特定することもできます。

Traffic Originは、当社独自のレジデンシャルプロキシデータを補完します。このデータは、数千万規模のレジデンシャルプロキシIPとそのサービスプロバイダーを特定します。これら2つのソリューションを組み合わせることで、顧客は無害なレジデンシャルIPと、世界的に犯罪用途でレンタルされているIPとを区別できます。

Silent Pushの先制型サイバー防衛チームは、顧客向けに新たな洞察や調査機会を見つけるため、Traffic Originのデータセットを定期的に分析しています。こうした機会がどのようなものになり得るかを読者により理解していただくため、低品質な中国の仮想プライベートネットワーク(VPN)プロバイダーに関連する一連のIPとドメインを調査した例を以下で共有します。

ロシア、中国、ミャンマー、イラン、ベネズエラのデバイスで使用されている謎の中国製VPN

当社のTraffic Originデータの中で、IPアドレス205.198.91[.]155は、ロシア、中国、ミャンマー、イラン、ベネズエラのデバイスを含むという、起点トラフィックの独特な内訳により際立っています。IPアドレスがこれらの場所でのみ観測されるのは極めて異例です。

Image
IP 205.198.91[.]155 のTraffic Origin Total View

同じIPアドレスをさらに調べると、当社のPADNSデータでは、2025年11月以降にそれへマッピングされているドメインはlvcha[.]inのみであり、トラフィックがこのドメインに関連している可能性を示唆しています。

Image
IPアドレス205.198.91[.]155に対してドメインlvcha[.]inへマッピングされたDNS Aレコード

当社のTotal Viewでlvcha[.]inを詳しく見ると、このドメインは2024年3月にNameSiloで登録され、中国語のVPNをホストしているように見えます。

Image
レジストラおよびメタデータのハイライトを示すlvcha[.]inのTotal View

LVCHA VPNのWebサイトにアクセスすると、既定言語が中国語(標準中国語)であり、サイトがAndroid APK(Android Package Kit)のみを直接サイドロードでダウンロード提供していることが分かります。つまり、Google Playストアを完全に回避しています。

以下は、サイトを英語に翻訳したもの(下図)です。目立つ、そして一見不正確な免責事項に注目してください:「このアプリはGoogleのセキュリティ認証に合格しています。安心してインストールしてご利用ください。」

Image
lvcha[.]inにあるLVCHA VPNの翻訳済みWebサイト

このVPNアプリとドメインが予期しないTraffic Originデータと整合しているため、当社のWeb Searchデータで収集された数十の検索可能なメタデータフィールドを使って、ドメインをさらに調査できます。

Image
lvcha[.]inのTotal View Web Search結果

同じVPNを宣伝する、より大きな不審ドメイン群へピボットできるフィールドをいくつか迅速に特定しました。

これらのピボットを提供するフィールドの一部は次のとおりです:

  • body_analysis.js_ssdeep – 類似スクリプトを検出するためのJavaScriptコンテンツのファジーハッシュ(ssdeep)。
    • datasource = [“webscan”] AND body_analysis.js_ssdeep = “24:toiwDsbneK8Ki3vr5y7zrlqCWJTI/Rk m5vY50lCvbHOPQ/:5wDrK8Ksr5y7zrlqCWJTL EWvbuPQ/”
  • body_analysis.telegram – ページから取得したTelegramアカウントURL
    • datasource = [“webscan”] AND body_analysis.telegram = “https://t.me/lvchavpn”
  • favicon_md5 – faviconバイナリのMD5ハッシュ
    • datasource = [“webscan”] AND favicon_md5 = “994dfe8573747f2b90e4d32b5ae07fc6”
Image
lvcha[.]inの拡張Web Search結果

Silent PushのWeb Search(Community Edition)を使って上記のいずれかのクエリを実行すると、同一のクローン化されたVPNコンテンツを掲載するドメインが約50件返ってきます:

  1. lcabc[.]icu
  2. lcapi[.]shop
  3. lcapp[.]bar
  4. lcapp[.]bond
  5. lcapp[.]cfd
  6. lcapp[.]cyou
  7. lcapp[.]icu
  8. lcapp[.]my
  9. lcapp[.]qpon
  10. lcapp[.]sbs
  11. lcapp[.]shop
  12. lcapp[.]xyz
  13. lcpro[.]bar
  14. lcpro[.]bond
  15. lcpro[.]cc
  16. lcpro[.]cfd
  17. lcpro[.]cyou
  18. lcpro[.]icu
  19. lcpro[.]qpon
  20. lcpro[.]sbs
  21. lcpro[.]shop
  22. lcpro[.]top
  23. lcpro[.]vip
  24. lcvpn[.]bond
  25. lcvpn[.]cc
  26. lcvpn[.]cfd
  27. lcvpn[.]cyou
  28. lcvpn[.]qpon
  29. lcvpn[.]sbs
  30. lcvpn[.]shop
  31. lcvpn[.]top
  32. lcvpn[.]xyz
  33. loopvpn[.]org
  34. lvcha[.]in
  35. lvcha[.]org
  36. lvcha[.]qpon
  37. lvcha[.]sbs
  38. lvcha[.]store
  39. lvchaapp[.]bond
  40. lvchaapp[.]cc
  41. lvchaapp[.]cyou
  42. lvchaapp[.]icu
  43. lvchaapp[.]pw
  44. lvchaapp[.]site
  45. lvchaapp[.]store
  46. lvchaapp[.]vip
  47. lvchavpn[.]bond
  48. lvchavpn[.]cfd
  49. lvchavpn[.]one

不審なダウンロードや製品をこれほど多くのドメインで宣伝するキャンペーンを目にする場合、運用者が配布促進を狙う地域の国レベルのファイアウォールを回避するために、ドメインをローテーションしている可能性を示します。このプロセスは、権威主義的な技術的ドメイン/IPブロッキングシステムである中国のグレート・ファイアウォールを回避しようとするキャンペーンで一般的に観測されます。この仕組みはロシアイランミャンマーベネズエラでも複製されており、いずれもこの特定のVPNプロバイダーへのTraffic Origin接続で確認された国々です。

元のWebサイトからLVCHA VPNのHTMLタイトル、favicon、またはTelegram URLを再利用していたWeb Search結果を調査する中で、コンテンツが205.198.91[.]136でもホストされていることが判明しました。これは前述のASNに属するIPアドレスです。

当社のレジデンシャルプロキシデータベースでこのIPアドレスを詳しく分析すると、レジデンシャルプロキシプロバイダー「Asocks proxies」(asocks[.]com)によって使用されていることが分かります。Traffic Originデータは先のIPアドレスで見た内容と整合しており、わずかな違いとしてウクライナでのヒットもあります。

Image
205.198.91[.]136のTraffic Origin Total View

IPアドレス205.198.91[.]136のTraffic Originデータは、以下に示すとおり、ロシア占領下のウクライナ東部で使用されていることを確認しています。

Image
ウクライナにズームした205.198.91[.]136のTraffic Origin Total View

このVPNに関連するIPアドレスで最後に強調しておきたいのが194.147.16[.]244です。これはAS48266に属し、catixs[.]comが所有する英国のネットワークです。本稿執筆時点(2026年1月)で、このIPアドレスはLVCHA VPNと同じコンテンツをホストしており、当社のTotal View概要で以下のとおり確認できます。

Image
194.147.16[.]244のTraffic Origin Total Viewハイライト

このIPアドレスは、以前に見られたのと同じ国々(ロシア、中国、イラン、ミャンマー)の多くからTraffic Originデータに出現しています。トラフィックには日本での単発ヒット、バングラデシュでの複数ヒット、カザフスタン—キルギス国境沿いの大きなクラスター、ジョージアでの追加ヒット、そしてロシア西部のウクライナ国境付近に新たなクラスターも含まれます。

Image
194.147.16[.]244のTraffic Origin Total View

この地図をズームすると、ロシアのモスクワでこのIPアドレスが大量に使用されていることが強調されます。

Image
ロシアにズームした194.147.16[.]244のTraffic Origin Total View

不審な接続が組織に影響する前に阻止する

国内の身元情報やクリーンなレジデンシャルIPを数ドルで借りられる時代において、信頼は負債になり得ます。正確なコンプライアンスには、単にパスポートを確認する以上のことが必要です。接続が物理面と技術面の両方でどのように振る舞うかを検証する必要があります。上流の起点を特定する能力がなければ、防御態勢は受け身のままで不完全です。既存の防御をすり抜ける前に、プロの詐欺師や「見えない内部者」を遮断するための重要な時間的猶予を失うリスクがあります。

Traffic Originは、KYC(Know Your Customer)、AML(Anti-Money Laundering)、および不正対策のワークフローが、デジタル上の欺瞞ではなく技術的な真実に基づくことを保証するために必要な可視性を提供し、組織を保護できます。

国家支援アクターが盗まれた身元情報や偽装された位置情報を使用する場合、身元調査だけでは組織を守るのに不十分です。リモート従業員が申告どおりの場所に物理的に所在していることを検証することが不可欠です。

Silent Push Traffic Originは、工作員が真の所在地を隠すために用いる欺瞞的なネットワーク経路を暴きます。国家支援グループが従来のジオフェンシングを回避するために利用するレジデンシャルプロキシや不審な接続パターンを見つけ出し、攻撃が発生するに高リスクのインフラや個人をフラグ付けできるよう支援します。

Traffic Originについてさらに詳しく知りたいですか?

先制型サイバー防衛の専門家チームにご連絡いただき、Traffic OriginおよびSilent Push Enterprise Editionプラットフォームの概要をご確認ください。

特定のユースケースに合わせたウォークスルーに加え、連携やAPI機能に関する洞察も提供し、侵害される前に無力化する方法をご案内します。

翻訳元: https://www.silentpush.com/blog/traffic-origin-chinese-vpn/

ソース: silentpush.com
#IPアドレス分析 #KYC・AML・不正対策 #Traffic Origin #VPN #サイバーセキュリティ #ジオロケーション偽装 #レジデンシャルプロキシ #不審ドメイン #中国 #脅威インテリジェンス

関連記事

DriveSurgeを紹介します:数千の侵害されたサイトでClickFixと偽アップデートによるドライブバイ攻撃を使用する新たな脅威アクター

Silent Push コンテキストグラフが示した5つのこと

完全なインシデント対応とは実際どのようなものか