IPTVベースの大規模な著作権侵害ネットワーク、Silent Pushが全容を解明

要点

• Silent Pushは、数年前から活動しているインターネットプロトコルテレビ（IPTV）ベースの大規模な著作権侵害ネットワークの存在を突き止めました。このネットワークは現在、1,000件を超すドメインと1万件以上のIPアドレスでホストされています。
• 当社の脅威調査チームは、この海賊版コンテンツのホスティングで利益を上げている2企業、XuiOne社とTiyansoft社を特定しました。違法なIPTVストリーミングを含むこの犯罪行為は驚くほど収益性が高く、運営者に年間数十億ドルもの利益をもたらしていることが調査で判明しています。

• • この不法行為により、Prime Video、beIN SPORTS、ディズニープラス、NPO Plus、F1 TV、HBO、Viaplay、Videoland、ディズニー・チャンネル、Ziggo Sports、Netflix、Apple TV、Hulu、NBA、RMC Sport、プレミアリーグ、チャンピオンズリーグ、Sky Sports、NHL、WWE、UFCなど20以上の大手ブランドに影響が及んでいます。

本記事は、マキナレコードが提携するSilent Push社のブログ記事『Massive IPTV Piracy Network Uncovered by Silent Push』（2025年9月3日付）を翻訳したものです。

こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。

Silent Pushについて

Silent Pushは、先駆的なサイバーセキュリティインテリジェンス企業です。リアルタイムで新たに出現する脅威インフラを完全に把握し、独自の将来攻撃指標（IOFA）データを通じて、攻撃を効果的に阻止します。Silent Pushは、スタンドアロンのプラットフォームとして提供されるだけでなく、APIを通じてSIEM、XDR、SOAR、TIP、OSINTを含むさまざまなセキュリティツールと統合し、自動化された実行可能なインテリジェンスを提供します。顧客には世界最大規模の企業や政府機関が含まれています。

関連記事：Silent PushのIOFA™フィードがOFACの制裁を受けたAeza Groupのインフラの移行を検出

概要

Silent Pushの脅威アナリストによって、IPTVベースで著作権侵害を行う大規模ネットワークが発見されました。このネットワークは現在、1万件を超すIPアドレスと1,100件以上のドメインにホストされており、数年前から活動を続けていることや、20超の大手ブランドに影響を与えていることが判明しています。当社が追跡しているサイバー脅威の大半と違い、このネットワークではWebサイトよりIPアドレスの数が多くなっていますが、IPTVネットワークにおいては特に珍しいことではないようです。

海賊版コンテンツのホスティングで利益を得ている2企業、XuiOne社とTiyansoft社も特定されました。

当社チームは、このネットワークのコンテンツの（すべてではなくとも）大部分が使用許諾を得ていないもの、つまり海賊版であることを確認しています。しかし最終的な判断を下すには、権利を侵害された各ブランドのチェックが必要な点に注意してください。なぜなら、一部のメディア企業がこのようなIPTVネットワークと実際にライセンス契約を結んでいないとも言い切れないからです。いずれにせよ、現時点でそのような契約が行われている証拠は見つかっていません。

なお、このネットワーク内のWebサイト「JVTVlive」は、「世界198か国に2,000台のサーバーを保有している」と公言しています（jvtvlive[.]com/faq/）。当社が追跡しているデータから判断すると、この誇張にも聞こえる主張は事実のようです。

IPTVとストリーミングは同じではありません。どちらもインターネット経由でコンテンツを配信する仕組みですが、IPTVとストリーミングではコンテンツの配信方法とアクセス方法が異なり、信頼性やアクセス性、コンテンツの配信・視聴に使用するデバイスにも違いがあります。

IPTVはサービスプロバイダーが管理する専用のプライベートネットワークを使い、通常はセットトップボックス（STB）と呼ばれる機材またはインターネットを介してコンテンツを配信します。一方、「OTT」または「オーバー・ザ・トップ」とも呼ばれるストリーミングは、従来のサービスプロバイダーではなくオープンなインターネットを利用し、視聴者がスマートテレビやパソコン、タブレット、スマートフォンなど多様なデバイスでコンテンツにアクセスできるようになっています。

IPTV著作権侵害ネットワークの背景

IPTVを利用した正規のコンテンツプロバイダーとしては、HuluやYouTube TVなどが一般的に知られています。通常、こうしたコンテンツへのアクセスに必要なものはインターネット接続のみであるため、著作権者からライセンスを得ずに提供されるコンテンツなど、海賊版コンテンツの配信に悪用されることがよくあります。

IPTVで侵害／海賊版コンテンツを配信するサービスには、以下のような共通の特徴があります。

• ライセンスされたチャンネルの違法な再ストリーミング：正規のテレビフィードをキャプチャし、許可なく再配信している。
• 不正サブスクリプション：プレミアムコンテンツへのアクセスを超低価格で販売している（例：「jvtvlive[.]xyz」は「2万2,500チャンネルと10万本の映画やテレビ番組を月額15米ドル」で提供）。
• 「IPTV」という用語の使用：違法なストリーミングプロバイダーほど、正規ストリーミングサービスの大半が使わない「IPTV」という用語を頻繁に使用している。

デジタル著作権侵害は違法であるにもかかわらず、複数の理由からアンダーグラウンドマーケットでは今なお急成長を遂げています。コンテンツ監視・保護企業MUSOのレポート『2024 Piracy Trends and Insights（2024年版著作権侵害動向調査）』によると、映像コンテンツの著作権侵害は「プラットフォームの断片化」と「正規サービスが価格・アクセス・コンテンツ追加のタイミングの面でユーザーの期待に応えられていない」ことを理由に増加傾向となっています。

英『ガーディアン』紙は、コンテンツが複数のサービスに散在することに加え、利用料金が上がり続けていることにより「豊かさが約束されていたはずのデジタル世界に人為的な希少性がもたらされた」と指摘しました。また、海賊版への関心が高まった原因に消費者が直面している「サービス側の問題」、つまり短期間のうちに繰り返されるレンタル／サブスクリプション料金の高騰と選択肢の減少を挙げています。

また、著作権侵害を行うIPTVサービスを利用することで、ユーザーは金銭詐欺やマルウェア感染、法的措置などの重大なリスクにさらされます。IPTVを介して著作権侵害に関与した消費者は、その多くがストリーミングサービスを通じた海賊版コンテンツの購入後にクレジットカードへの不正請求を経験していました。海賊版アプリ・Webサイトのユーザーも、著作権侵害に関わらないユーザーと比べて個人情報を盗まれる可能性が高くなっています。また、著作権侵害サイトは個人データを盗む、あるいはデバイスにマルウェアを感染させることで知られています。

これらのネットワークを追跡する際、Silent Pushのプラットフォームを使えば、侵害／海賊版コンテンツを宣伝するIPTVネットワークの構成インフラの全体像が容易にマッピングできるようになります。技術的なフィンガープリントをいくつか組み合わせるだけで、効果的な海賊版対策に欠かせない詳細な情報を入手することができます。

運用セキュリティ（OPSEC）上の注意：この著作権侵害ネットワークを列挙するために、当社チームが使用した分析手法およびインフラのフィンガープリントを採取する方法は公開することができません。ただし、エンタープライズ版ユーザー向けのより詳細なレポートで入手可能です。

調査開始

ある調査パートナーから初期兆候として海賊版コンテンツをホスティングしていたpremiumplustv[.]xyzというサービスが共有されました。当社チームはSilent Push Webスキャナーを活用することで、この単独の指標から1万件を超すIPアドレスおよび1,100件以上のドメインを同サービスに紐付ける技術的なフィンガープリントを作成することができました。

以下のWebサイトxuione[.]comは、多くの海賊版配信スキームをサポートしていると思われる大規模なIPTVプロバイダーであり、当社の調査パートナーが抱いていた疑念を裏付けています。

Webサイト「XUIone」のスクリーンショット

Silent Pushプラットフォームから取得したxuione[.]comの2022年のWHOISレコードのスクリーンショット

Webサイトxuione[.]comの詳細情報は、登録者の所在地が数年にわたってアフガニスタンのヘラートにあることを示していました。

その後、登録の詳細は2025年3月に更新され、位置データがアフガニスタンのヘラートから米国内に変更されました。

同様の方法で取得したxuione[.]comの2025年のWHOISレコードのスクリーンショット

XuiOneブランドについてさらに調査を進める中、ちょっとした好奇心で最初の手がかりであるドメイン（premiumplustv[.]xyz）をGoogleで検索してみました。検索結果にはそのドメインの「デバッグモード」が表示され、注目すべきパス名を含むURL「premiumplustv[.]xyz:8080/get.php?username=TvWorld7382P&password=sYymzstukq&type=m3u」が見つかりました。

「premiumplustv[.]xyz」をGoogleで検索した結果

上記のURLをSilent Push Live Scan機能でチェックしたところ、「XUI.one – Debug Mode」というHTMLタイトルを持つサイトをGoogle上で確認できました。

「premiumplustv[.]xyz」をSilent Pushプラットフォームで検索した結果

次のステップでは、これらのページに関する情報や公開可能な詳細を精査していきます。

Stalker Portalとのつながり

XuiOneのフィンガープリントに関する以前の調査を振り返る中で、10年以上前から利用されている著名なオープンソースIPTVプロジェクトの1つである「Stalker_Portal」とのつながりが明らかになりました。

Stalker_Portalは12年ほど前から存在するオープンソースのIPTVプロジェクトで、IPTVサービスを提供するInfomir[.]euがソースコードを所有していると思われます。「Stalker Portal」というフレーズは、Infomirのコードを利用するさまざまなプロジェクトで使用されており、一部のIPTVプロバイダーではバックエンド管理システムそのものを指す言葉として使われることもあるようです。

Stalker_Portalはこのように宣伝されています。

「github[.]com/Jitendraunatti/Stalker-Portal」のスクリーンショット

「play[.]google[.]com/store/apps/details?id=com[.]ikrabouda[.]cccam48h&hl=en」のスクリーンショット

IPTVの宣伝

一度オープンソースインテリジェンス（OSINT）に立ち返った結果、これらのドメインがスパムによって宣伝されているサイトに加え、Googleが収集し、関連性が高い可能性のあるドメインを複数見つけました。調査の成果を共有するために、これまでの進捗状況を基に効果的な検索クエリを「Google Dorks（※）」を利用して作成しました。

※注：Google Dorksは特別な検索クエリです。高度な検索演算子（site:・intitle:・filetype:など）を使用することで、通常の検索では容易に見つけられないWeb上の情報を指定して検索できます。

利用したGoogle Dorksへのリンク：

https://www.google.com/search?q=inurl%3A%22type%3Dm3u%22+inurl%3A%22get.php%22&filter=0

IPTVを宣伝するFacebookグループ

このポストが投稿されていたFacebookグループの特筆すべき点として、類似する別のURLが共有されていたことが挙げられます。URLには「username」と「password」のパラメータが使用されていますが、これはTelegram上で同様の活動を行うアカウントでもよく見られる手法です。

Facebookグループでは、サービス利用者が「off」などのコメントを投稿することで、サイトがオンラインかどうかを示しています。つまり、これらのサイトが短時間しかアクセスできない、またはアクセスが特定のユーザー・IPアドレス・地域に限定されている可能性が高いことが示唆されます。このFacebookグループはhttps[:]//www[.]facebook[.]com/groups/862409924169988/から確認できます。

グループ名の「سيرفرات إدريس」はアラビア語で「Idrissのサーバー（※）」を意味します。

※訳者注：Silent Pushの記事では「server’s address（サーバーのアドレス）」と訳されていますが、سيرفراتはサーバー（複数形）を、إدريسはIdriss（アラビア語圏の一般的な人名）を意味することから誤謬と思われます。

グループ内のアクティビティの一部

「機能していない（Does not work）」のようなコメントもよく見られます。

Facebookグループ「سيرفرات إدريس」内のアクティビティの一部

共有されているURLの多くは形式が比較的一貫しているものの、公開されているドメインやusername/passwordのクエリは雑然としており、ポートも断続的に変更されているようです。

Facebookグループへの投稿の1つ

いくつかの投稿を調査した結果、最も一般的なURLの形式は次のように表記できることがわかりました。

http://domain[.]suffix:{Random_Port}/get.php?username={value}&password={value}&type=m3u&output={value}

URLの形式を把握したため、このようなストリーミングサービスのネットワークが数年前からWeb上で宣伝されていたという証拠を見つけることができました。以下はImgurで発見した2018年の投稿です。

「imgur[.]com/gallery/http-tvdomel-com-8880-get-php-username-paulomoreira-password-939857-type-m3u-output-ts-wlPi0」のスクリーンショット

専用IPアドレスから新たに発見された3件のドメイン

調査を続ける中で、xuione[.]comというドメインが複数のAレコードにマッピングされていることに気付きました。それぞれのAレコードは、低密度の共有IPアドレスのようです。この狭い範囲のIPアドレスにはほかのIPTVのWebサイトも含まれており、IPTVネットワークの一部を成している可能性が高いと考えられます。

このようなクラスターは、Total Viewでxuione[.]comのIPアドレス「158.220.114[.]199」の詳細を調べることで確認できます。

Silent Push Total View上で確認できたIPアドレス「158.220.114[.]199」の関連情報

調査チームはこのIPアドレスを手がかりに、IPTVに特化したドメインをさらに3件特定しました。最初のドメインは含まれる文字列が自己言及的ですが、ほか2件はより興味深いものでした。

• • streamxpert[.]net
  • jvtvlive[.]xyz
  • tiyanhost[.]com

リストで最初に挙げた「streamxpert[.]net」のWebサイト

「JVTVが最高品質のライブサブスクリプションをお届け。当社サービスがエンターテイメントの世界の扉を開きます。無数のグローバルチャンネル、数え切れないほどの映画、豊富なドラマコレクションにアクセスしましょう！」

「jvtvlive[.]xyz」のWebサイト

JVTVのサービスではいくつもの「チャンネル」に関するプロモーションが行われています。例えば、Prime Video・beIN Sports・ディズニープラス・NPO Plus・Formula 1・HBO・Viaplay・Videoland・ディスカバリーチャンネル・Ziggo Sports・Netflix・Apple TV・Hulu・NBA・RMC Sport・プレミアリーグ・チャンピオンズリーグ・Sky Sports・NHL・WWE・UFCなどが「チャンネル」として挙げられています。

JVTVがWebサイト（jvtv[.]xyz）で自サービスを宣伝している様子

JVTVはWebサイト上で「198か国に2,000台のサーバーがある」と主張しています。 

JVTVの「お問い合わせ」ページに掲載されたサーバーの位置を示す世界地図

また、国別チャンネルリストも掲載しています。

JVTVが提供しているチャンネルのリスト（jvtvlive[.]xyz/channel-list/）

3番目に挙げたドメインのTiyan HostはIPアドレスを管理しているホストであるとみられ、これらのIPTVプロバイダーをクライアントとして抱えているものと思われます

同じIPアドレス上に存在するドメインの「tiyanhost[.]com」

無料コミュニティ版への登録を

今すぐ無料のコミュニティ版アカウントにサインアップし、本ブログ記事でご紹介したツールやクエリをお試しください。

サインアップはこちらから

緩和策

インターネットのグローバルアーキテクチャは絶えず変化しており、Silent Pushは唯一無二のファーストパーティデータソースを活用して、その様子を独自の方法で可視化します。入手したインテリジェンスは、当社のお客様へ将来攻撃指標™(IOFA™)フィードという形で提供され、侵害の発生を事前に食い止めることに役立っています。

当社のプラットフォームにより、攻撃者のインフラは武器化される前にマッピング可能となり、上記のような著作権侵害コンテンツのネットワークを迅速かつ包括的に検出することができます。

これに伴い、当社のアナリストはIPTVベースの海賊版配信サイトに焦点を当てた指標をリストにまとめ、Bulk Data Exportを作成しました。これらの指標はブランド保護調査の際に役立ちます。Bulk Data Exportで確認できる情報には次のものが含まれます。

• 著作権侵害を行うIPTVサイトのドメイン
• 著作権侵害を行うIPTVサイトのIPアドレス

Silent PushのBulk Data Exportは、エンタープライズ版サブスクリプションの一環としてご利用いただけます。エンタープライズ版のユーザーは、このデータを使用して調査を進めたり、プラットフォーム内で著作権侵害コンテンツに関連するインフラ全体をさらに分析したりすることができます。

海賊版IPTVネットワークに関するIOFA™のサンプル

海賊版IPTVネットワークに関連するIOFA™リストの一部を以下に掲載します。エンタープライズ版ユーザーはリストの完全版をご覧になれます。

• iptvadvice[.]com
• jvtvlive[.]xyz
• streamxpert[.]net
• tiyanhost[.]com
• tiyansoft[.]com
• xtreamui[.]org
• xuione[.]one

IPTVを使った著作権侵害ネットワークの追跡を継続

当社チームは、違法／海賊版コンテンツをホストおよびストリーミングするIPTVベースの著作権侵害ネットワークと、それに関連するインフラを今後も積極的に監視します。

Silent Pushのエンタープライズ版ユーザーには、今回ご紹介した内容をはじめ、さまざまな脅威に関するレポートを限定配信します。また、公開できる範囲の詳細も可能な限り共有する予定です。

本ブログ記事の内容に関する情報をお持ちの場合、あるいはコンテンツの著作権を侵害しているネットワークをSilent Pushでマッピングする方法を確かめるには、ぜひ当社までご連絡ください。