企業ファイアウォールは長い間、IPアドレスの評判に依存することに慣れてきました。しかし、最新の分析によると、このパラダイムはますます機能しなくなっています。GreyNoiseの研究者は、90日間で40億のネットワークセッションを調査し、企業周辺と相互作用する一意のIPアドレスの約40%が通常の住宅用接続から発生していると結論づけました。さらに、これらのアドレスの約78%は、評判アーカイブに記録される前に消えています。
この問題は、これらの識別子の本質に根ざしています。フィルタリングシステムの観点から見ると、住宅用セグメントからのトラフィックは正当なユーザーのトラフィックと区別がつかず、同じインターネットサービスプロバイダーとアドレス範囲を共有しています。攻撃者は、通常のホームインターネット、モバイルネットワーク、小規模なコーポレート接続を仲介ノードとして利用しています。その結果、悪質なテレメトリは従業員、顧客、パートナーの本当のリクエストと同じに見えます。
統計的証拠は、この変化する状況の速さを明らかにしています。住宅用アドレスはユニークソースの39%を構成していますが、全体のセッションのおよそ22%を占めています。各IPは、消える前に通常3つ未満のセッションに参加しています。本質的に、これは継続的に変化し、はかなく出現し、明白な評判を蓄積できないソースのプールを表しています。
主なメカニズムはアドレスの急速なローテーションです。住宅用IPの約80%は1回または2回のセッションのみで現れ、その後観察されることはありません。このような動的な性質を考えると、わずかな遅延でも脅威インテリジェンスを更新するシステムは、十分な速さで反応することができません。評判フィードは経験的な不正確さではなく、基礎となるモデルが更新されるより速く時代遅れになるため、無効になります。
研究者はトラフィックの地理的分布内で隔離された信号を特定しました。インドに地理的にロケーションされているIPアドレスからのストリームは、夜間に約34%減少しています。これは人間の概日リズムと一致し、侵害されたホームコンピュータを示唆しています。これらの装置は、その所有者が眠っている間も攻撃を実行し続けています。
この現象は単一の脅威によってではなく、複数の要因の融合によって引き起こされています。レポートは少なくとも4つの独立した起源を示しています:ワーム伝播、IoTボットネット、商用プロキシネットワーク、VPNベースの偵察インフラストラクチャ。トラフィックの外見上の均一性にもかかわらず、特定のグループ間ではIP重複が検出されませんでした。
そのようなインフラストラクチャを破壊するための巨大な作戦でさえ、一時的な緩和をもたらすだけです。特定のプロキシプロバイダーのネットワーク内のノードの約40%が失われた後、オペレーターはわずか数週間でネットワークを復活させました。そのような介入の後、物語は繰り返されます:活動の短い減衰の後、新しいデバイスによって燃料を供給される迅速な復興。
これらの進展は防御要件の変換を必要とします。セキュリティをトラフィックのソースだけに向けることは無駄になってしまいました。研究者は行動分析へのシフトを勧めています:クライアントリクエストの性質、接続の動き、特定のパターンの繰り返しを詳しく検査すること。この環境では、デジタルデバイスフィンガープリントはより耐性のある手段として登場します。流動的なIPアドレスとは異なり、フィンガープリントはローテーションを通じて一定のままであり、異なるネットワーク全体でも単一のクライアントの監視を可能にします。
要約すると、これらの結論は2025年11月下旬から2026年2月まで収集された40億セッションのデータセットに基づいています。これは、683の国際インターネットサービスプロバイダーのデータを包含する、IPinfoを介して分類された30,000セッションのサンプルで補足されました。Censysインフラストラクチャによる検証により、ソースの約42%が実際には住宅用接続であることが確認されました。侵害された加入者機器を考慮に入れると、この比率は62%に上昇し、残りはサーバーまたはスキャン装置で、誤って住宅用セグメント内に分類されています。
