Silent Push のTraffic Originは、脅威アクターの真の国の起源を特定するのに役立つ洞察を暴露し、防御者に他の方法では利用できない可視性を提供します。当社は、トラフィック信号を分析するために専有のグローバル監視ネットワークを使用し、プラットフォームがIPアドレスに関連する国を特定できるようにしています。これにより、プロキシサーバーが存在する場所だけでなく、トラフィックの真の物理的起源が明らかになります。
企業がグローバルな脅威アクターをすぐに明かすために使用できる重要な拡張機能を提供し、Traffic Originは、住宅用プロキシを使用して実際の物理的位置を隠そうとしながら不正雇用を取得しようとしている北朝鮮のITワーカーを含む悪意のある行動に光を当てます。顧客は、Traffic Origin を使用して従業員のログインを自動的に評価し、IPアドレスが予期しない場所または関心事の国からのトラフィックをマスキングしている場合を特定することもできます。
Traffic Origin は、当社の専有住宅用プロキシデータを補完しており、数千万の住宅用プロキシIPとそのサービスプロバイダーを特定しています。これら2つのソリューションを組み合わせることで、顧客は無害な住宅用IPと世界中の犯罪目的でレンタルされているIPを区別するのに役立ちます。
Silent Push先制防衛サイバーディフェンスチームは、顧客向けの新しい洞察と研究機会を発掘するために、定期的にTraffic Originデータセットを分析しています。読者がこれらの機会がどのようなものかを理解するのに役立つため、以下では低品質の中国仮想プライベートネットワーク(VPN)プロバイダーに接続されたIPとドメインの一連の調査の例を共有しています。
ロシア、中国、ミャンマー、イラン、ベネズエラのデバイスで使用される謎の中国VPN
当社のTraffic Originデータ内では、IPアドレス205.198.91[.]155は、オリジントラフィックの独特な内訳で目立ちます。これには、ロシア、中国、ミャンマー、イラン、ベネズエラのデバイスが含まれます。IPアドレスがこれらの場所で独占的に観察されるのは非常に珍しいです。
同じIPアドレスをさらに詳しく調べると、当社のPADNSデータは、2025年11月以降にそれに対応する唯一のドメインがlvcha[.]inであることを示しており、トラフィックがこのドメインに関連付けられている可能性があることを示唆しています。
lvcha[.]inをTotal Viewで詳しく見ると、ドメインは2024年3月にNameSiloに登録され、中国語のVPNをホストしているようです。
LVCHA VPNウェブサイトにアクセスすると、デフォルト言語は標準中国語であり、サイトはGoogle Playストア全体を回避して、直接サイドロードダウンロード用のAndroid APK(Android Package Kit)のみを提供しています。
以下は、サイトがどのような外観であるかを英語翻訳で示したものです。目立つ、一見不正確な免責事項に注目してください:「このアプリはGoogleのセキュリティ認証に合格しているため、安心してインストール・使用できます。」
このVPNアプリとドメインは予期しないTraffic Originデータと一致しているため、Web Searchデータによってキャプチャされた数十の検索可能なメタデータフィールドを使用してドメインをさらに調査できます。
当社は、同じVPNを宣伝する疑わしいドメインのグループ全体にピボットする複数のフィールドを素早く特定しました。
これらのピボットを提供するフィールドの一部は以下を含みます:
- body_analysis.js_ssdeep – 類似スクリプトを検出するためのJavaScriptコンテンツのファジーハッシュ(ssdeep)。
- datasource = [“webscan”] AND body_analysis.js_ssdeep = “24:toiwDsbneK8Ki3vr5y7zrlqCWJTI/Rk m5vY50lCvbHOPQ/:5wDrK8Ksr5y7zrlqCWJTL EWvbuPQ/”
- body_analysis.telegram – ページからキャプチャされたTelegramアカウントURL
- datasource = [“webscan”] AND body_analysis.telegram = “https://t.me/lvchavpn”
- favicon_md5 – faviconバイナリのMD5ハッシュ
- datasource = [“webscan”] AND favicon_md5 = “994dfe8573747f2b90e4d32b5ae07fc6”
Silent PushのWeb Search(Community Edition)を使用して上記のクエリのいずれかを実行すると、同じクローンVPNコンテンツを備えたほぼ50のドメインが返されます:
- lcabc[.]icu
- lcapi[.]shop
- lcapp[.]bar
- lcapp[.]bond
- lcapp[.]cfd
- lcapp[.]cyou
- lcapp[.]icu
- lcapp[.]my
- lcapp[.]qpon
- lcapp[.]sbs
- lcapp[.]shop
- lcapp[.]xyz
- lcpro[.]bar
- lcpro[.]bond
- lcpro[.]cc
- lcpro[.]cfd
- lcpro[.]cyou
- lcpro[.]icu
- lcpro[.]qpon
- lcpro[.]sbs
- lcpro[.]shop
- lcpro[.]top
- lcpro[.]vip
- lcvpn[.]bond
- lcvpn[.]cc
- lcvpn[.]cfd
- lcvpn[.]cyou
- lcvpn[.]qpon
- lcvpn[.]sbs
- lcvpn[.]shop
- lcvpn[.]top
- lcvpn[.]xyz
- loopvpn[.]org
- lvcha[.]in
- lvcha[.]org
- lvcha[.]qpon
- lvcha[.]sbs
- lvcha[.]store
- lvchaapp[.]bond
- lvchaapp[.]cc
- lvchaapp[.]cyou
- lvchaapp[.]icu
- lvchaapp[.]pw
- lvchaapp[.]site
- lvchaapp[.]store
- lvchaapp[.]vip
- lvchavpn[.]bond
- lvchavpn[.]cfd
- lvchavpn[.]one
疑わしいダウンロードまたは製品を宣伝するキャンペーンが非常に多くのドメインを使用している場合、オペレーターが配布を推進しようとしている地域の国家レベルのファイアウォールを回避するためにドメインをローテーションしていることを示すことができます。このプロセスは、グレートファイアウォール・オブ・チャイナをバイパスしようとするキャンペーンで一般的に観察され、権威主義的な技術ドメイン およびIPブロッキングシステムがロシア、イラン、ミャンマー、ベネズエラで複製されています。これらはすべて、この特定のVPNプロバイダーへのTraffic Originの接続で見られた国です。
元のウェブサイトからLVCHA VPN HTMLタイトル、favicon、またはTelegram URLを再利用したWeb Search結果を調査しながら、コンテンツは205.198.91[.]136でもホストされていることが判明しました。これは前述のASNからのIPアドレスです。
当社の住宅用プロキシデータベース内のこのIPアドレスの詳細な分析により、住宅用プロキシプロバイダー「Asocks proxies」(asocks[.]com)によって使用されていることが示されています。Traffic Originデータは、前のIPアドレスで見たものと整合していますが、わずかな違いがあります。ウクライナのヒットもあります。
IPアドレス205.198.91[.]136のTraffic Originデータは、以下に示すように、ロシア占領下の東ウクライナで使用されていることを確認しています。
このVPNに関連する最後の注目すべきIPアドレスは194.147.16[.]244であり、これはAS48266からのもので、catixs[.]comが所有する英国ネットワークです。この執筆時点(2026年1月)では、このIPアドレスはLVCHA VPNと同じコンテンツをホストしており、当社のTotal Viewの概要で見られます。
このIPアドレスは、以前に見られた同じ多くの国(ロシア、中国、イラン、ミャンマー)からのTraffic Originデータに表示されています。トラフィックには日本での1回のヒット、バングラデシュでの複数のヒット、カザフスタン-キルギス国境に沿った大きなクラスター、ジョージアでの追加のヒット、および西ロシアのウクライナ国境近くの新しいクラスターも含まれています。
このマップにズームインすると、ロシアのモスクワでこのIPアドレスの大量使用が強調されます。
疑わしい接続があなたの組織に影響を与える前に停止します
信頼は、家庭用IDと清潔な住宅用IPをレンタルするのに数ドルしかかかるという時代では負債です。正確なコンプライアンスでは、パスポートをチェックするだけでは不十分です。物理的およびテクニカルレベルの両方で接続がどのように動作するかを検証する必要があります。上流の発信地点を特定する能力がなければ、防御的準備は反応的で不完全なままです。専門的な詐欺師と「見えない内部者」が既存の防御を回避する前にブロックする重要な窓を失うリスクがあります。
Traffic Origin は、KYC(Know Your Customer)、AML(Anti-Money Laundering)、不正ワークフローが数字上の欺瞞ではなく技術的な真実に基づいていることを確認するために必要な可視性を提供することで、組織を保護できます。
国家支援を受けたアクターが盗まれた身元となりすまされた位置を使用する場合、背景チェックだけでは組織を保護するのに十分ではありません。リモート従業員が彼らが主張する場所に物理的に位置していることを確認することが重要です。
Silent Push Traffic Origin は、工作員が真の位置を隠すために使用する欺瞞的なネットワークパスをマスクを外します。当社は、国家支援グループが従来の地理的フェンシングをバイパスするために使用する住宅用プロキシと疑わしい接続パターンを見つけるのに役立ち、攻撃が発生する前に高リスク基盤とエンティティにフラグを付けることができます。
Traffic Origin についてもっと詳しく知りたい方へ
先制防衛サイバーディフェンスの専門家チームと繋がり、Traffic Origin と Silent Push Enterprise Edition プラットフォームの概要を取得します。
当社は、あなたの特定のユースケース、および統合とAPI機能の洞察についてカスタマイズされたウォークスルーを提供でき、侵害前に中性化する方法を示します。
