TRAFFIC ORIGIN：アイデンティティ偽装と境界の進化に対する先駆的防御

概要

現代における企業の境界は、もはや物理的な壁ではなく、組織の独自性や存在価値を示すアイデンティティシグナルと、それらを検証するために使われるネットワークコンテキストによって定義されるようになりました。これを受け、重大な脆弱性がアイデンティティの偽装という形で表面化するようになっています。

国家の支援を受けたグループから組織犯罪シンジケートに至るまで、巧妙な手口を駆使する攻撃者たちは、正規従業員のデジタルフットプリントを模倣して「木を森の中に隠す」技術を習得しています。このような状況においては、たとえ端末が上流の制裁対象地域やリスクの高い地域から操作されていたとしても、観測可能なIPアドレスと位置情報によって正規のものに見えてもおかしくありません。

従来のセキュリティスタックは本質的に事後対応型であり、有害インフラが武器化された後でしかこれを特定できません。しかし、Silent Push Traffic Originはこのサイクルを断ち切ります。当社のプラットフォームは上流の接続元を明らかにすることにより、なりすまし詐欺やラップトップファームを介した組織への侵入を阻止し、制裁回避の対策に特化した防御層を提供します。

接続を制御している可能性が最も高いポイントをTraffic Originで特定することにより、IPアドレスの位置情報のみならず接続元が明らかになります。

IPアドレスではなくトラフィックの接続元に基づき実行者を暴くことで、より高度なインテリジェンスを獲得できるとともに、脅威の機先を制する防御が可能になります。

本記事は、マキナレコードが提携するSilent Push社の『TRAFFIC ORIGIN　PREEMPTIVE DEFENSE AGAINST IDENTITY OBFUSCATION AND THE EVOLUTION OF THE PERIMETER』を翻訳したものです。

問題：致命的な欠陥3例

現代の組織や企業が採用する対策には、観測可能なIPアドレスと位置情報が正当なものに見えることに起因する死角が存在し、重大なリスクを伴う特定のシナリオを見過ごすことにつながっています。例えば、脅威アクターが設計上「クリーン」に見えるインフラを悪用した場合、ID／ネットワークセキュリティ対策の効果は予想以上に著しく低下します。

1. 「見えないインサイダー」（ラップトップファーム）

国家の支援を受けた脅威アクターは、架空の人物になりすまして正規の雇用を確保します。正式採用後は一般的な入社手続きや身元確認、デバイス登録を済ませて、通常の従業員として活動しているように見せかけています。

しかし実際には、こうした従業員のノートパソコンは「ラップトップファーム」に物理的に配置され、攻撃者が制裁対象地域またはリスクの高い地域から遠隔制御しています。

• 問題：正規従業員のデバイスが操作されているため、たとえ操作を行うのが攻撃者であっても、多要素認証（MFA）やデバイストラスト制御でほとんどが正当なセッションとして承認されてしまいます。住宅用のIPアドレスを使い、トラフィックが国内に存在する会社支給のデバイスから発信されているように見えることから、標準的なセキュリティツールはこれを正規のセッションとして記録します。
  

2. 決済ゲートウェイでの制裁回避（マネーロンダリング対策／顧客の身元確認）

攻撃者はマルチホップの住宅用プロキシネットワークを通じて位置情報を隠し、暗号資産決済ゲートウェイや従来の銀行システムを介して不法な資金を移動します。

• 問題：コンプライアンスチームは「ラストマイル」（通信接続の末端）しか示さないIPデータに依存しています。そのため、制裁対象地域のアクターが非制裁地域の住宅用プロキシを使用すると、その取引は承認されるため、重大な規制違反に発展します。こうして生まれたシステム上の盲点により、始点ではなくプロキシの所在地に基づいて制裁のスクリーニングが行われることになります。
  

3. プロキシを悪用した認証情報窃取

最近のアカウント乗っ取りの事例では、評価ベースの保護を回避するため、攻撃試行を正規の住宅用プロキシネットワークやインターネットプロバイダー（ISP）基盤のアドレス空間を通じてルーティングしています。

攻撃者は自動化されたクレデンシャルスタッフィングツールを導入して住宅用IPアドレスをローテーションすることにより、人間のログインパターンを模倣し、ジオブロック（地域制限）を無効化するだけでなく、標準的な異常検出を回避します。

その結果、「不審なログイン」のシグナルはアラートノイズに変化し、本当にリスクの高いセッションが検知されなくなります。

• 問題：「データセンター」のIPアドレスを識別するよう設計されたリスクエンジンがバイパスされます。セキュリティチームは大量の「クリーン」な住宅用ログイン情報を前に、本物の顧客と攻撃者を区別できなくなります。
  

従来のIPインテリジェンスが役に立たない理由：事後対応の落とし穴

従来の脅威インテリジェンスツールは、有害な活動に関連付けられたインフラを追跡するために設計されています。つまり、既知の有害インフラを特定する能力に優れていても、攻撃者が意図的に「クリーン」なネットワークを介して活動している場合、上流のコントロールポイントを確実に突き止めることができません。

既知の脅威アクターをカタログ化する作業と同様、脅威インテリジェンスは本質的に事後対応的なものになりがちです。最近の攻撃者はこのギャップを悪用し、消費者向けISPや住宅用プロキシネットワーク、そして正規のエンドポイントなど、決して「有害」に分類されることのないインフラを活用します。

ほとんどのツールがラストホップルーターのIPアドレスを評価するが、リスクとなるポイントは上流に置かれるようになっている。これが根本的な問題です。

解決策：信頼性の高い方法で接続元を検出

Silent Push Traffic Originにより、セキュリティに対する意識は「事後対応的な調査」から「先駆的な検証」に変化します。

鮮度が低いサードパーティのデータアグリゲーターに依存する従来のツールとは違い、Silent Pushは独自のグローバル観測ネットワークを駆使して信頼性の高い指標を生成し、攻撃者が使う上流の接続元を解明します。

これにより、セキュリティチームとコンプライアンスチームは観測可能なIPアドレスの位置情報だけでなく、接続元の確度に基づいてポリシーを適用できるようになります。

Silent Pushを使うメリット：高度なインフラ分析が可能

Traffic Originは従来のインテリジェンスでは捉えられない上流のコントロールシグナルを検出するよう設計されており、インフラの構築段階を分析し、攻撃が開始される前に発生する「準備シグナル」を特定します。着目する重要なテレメトリ層は以下の3つです。

位置情報ではなく発信元に着目することで、トラフィックが実際に制御されている場所を基準に先駆的なブロックやチャレンジを行えます。

業務上のメリット：さまざまな機能を集約

Traffic Originはアイデンティ保護や詐欺対策、あるいはSOCのワークフローでの運用を想定されており、発信元に関する不明瞭なシグナルをポリシーへの即時反映が可能なインテリジェンスに変換します。また、Traffic Originの指標をAPI経由で受け取り、組織内のアラート強化やリスク評価、認証ポリシー、コンプライアンスレビューなどのワークフローに組み込むことができます。

総括：デジタルな「境界」を保全するために

アイデンティティの偽装が巧妙化する時代において、接続元の確認はセキュリティを確保する取り組みにおいて重要な一角を占めます。今日ではクリーンなインフラを使って従来のセキュリティコントロールを回避する攻撃者が増えており、守る側も接続元についてのコンテキストが不十分なまま対策を講じる必要に迫られています。

この問題を解決するために設計されているSilent Push Traffic Originは、従来の方法では見えなかった上流の発信元を検出し、アイデンティティのコンテキストを検証する作業をサポートします。これにより、通信の「ラストマイル」におけるアイデンティティの不確かさが悪用される前に監視体制を強化し、脅威アクターに対して堅実な対応を取ることができるようになります。また、組織と外部の境界線を保全し、従業員が主張するアイデンティティと発信元が一致していることを確認できるため、攻撃者に付け入る隙を与えません。

Silent Pushについて

Silent Pushは先駆的サイバーディフェンスプラットフォームを通じ、攻撃者が扱うこれまで知られていなかったインターネット上のインフラをリアルタイムで可視化します。こうしたソリューションとしては史上初、唯一無二の製品であり、新たに出現する脅威インフラの全貌をリアルタイムで捉え、独自の将来攻撃指標（IOFA™）データを通じて有害な活動を明らかにすることにより、隠れた脅威を先駆的にブロックするだけでなく、被害を軽減することが可能になります。

Silent Pushのスタンドアロン型プラットフォームをSIEM／XDR、SOAR、TIPやOSINTなど各種セキュリティツールとAPI連携することにより、自動化されたエンリッチメントや実用可能なインテリジェンスを受け取ることができます。当社のサービスは、フォーチュン500に選出された多くの大企業や政府機関でも採用されています。

Silent Pushのソリューション

知見

未知の脅威インフラも即座に可視化し、調査に人手を割くことなく、迅速かつ確実な意思決定を可能にします。

• トリアージやレスポンスの高速化
• 詐欺やマネーロンダリングへの対策を自動化
• プロキシネットワークの全貌を暴いて攻撃用インフラを検証

探索

攻撃者のインフラやキャンペーンを早期発見することで、それらが武器化される前に脅威を食い止めます。

• ステージング途中のインフラを含めた攻撃キャンペーンをマッピング
• 稼働前のフィッシング用インフラを検出
• 従来のツールでは検知できなかった武器化前の脅威を発見

防衛

攻撃者のものであることが確認済みのインフラに紐付けられた実証済みの指標を利用できるため、早い段階で根拠を持って行動に移せます。

• IOFA™を検出し、脅威の機先を制する
• 規模の大きな脅威を検証し、投資利益率（ROI）を改善
• 事業に関連した脅威の優先順位付け

脅威が姿を現す前にSilent Pushを活用して食い止める方法や、準備段階の攻撃用インフラをIOFA™が暴き出す技術を知るには、デモを予約してください。

※日本でのSilent Pushに関するお問い合わせは、弊社マキナレコードにて承っております。
詳しくは、以下のフォームからお問い合わせください。