目次
はじめに:匿名化インフラはなぜ見逃されやすいのか
不正ログイン、アカウント乗っ取り、偽アカウント登録、ボット、スクレイピングなどの攻撃では、攻撃者がVPN、プロキシ、レジデンシャルプロキシ、Torなどの匿名化インフラを利用するケースがあります。
SpurのIPインテリジェンス調査では、セキュリティインシデントの94%において、匿名化VPNやレジデンシャルプロキシが関与していることが示されています。
これらのアクセスは、一見すると通常の一般ユーザーによる通信に見えることがあります。従来の悪性IPリスト、単純なジオロケーション判定、一律のブロックルールだけでは、危険なアクセスを見逃したり、反対に正規ユーザーまで遮断してしまったりする可能性があります。
VPN・レジデンシャルプロキシがもたらす新たな脅威
特に大きな影響がある脅威として、クレデンシャルスタッフィングやアカウント乗っ取りが挙げられます。調査では、48%の組織がこれらの認証情報悪用を高インパクトな脅威として報告しています。
攻撃者は、漏えいしたID・パスワードを使って大量のログインを試行する際、VPNやレジデンシャルプロキシを使って接続元を分散させます。これにより、同じ攻撃であっても、ログ上は多数の通常ユーザーからのアクセスに見える場合があります。
レジデンシャルプロキシは、一般ユーザーのネットワークを経由するため、単純なデータセンターIPのブロックだけでは十分に検知できないことがあります。匿名化されたアクセスを見抜くには、IPアドレスそのものだけでなく、その背後にあるインフラや利用状況を確認する必要があります。
IPインテリジェンスのギャップとは
多くのセキュリティチームでは、IPアドレスをログ調査やアラート確認に利用しています。しかし、IP情報の活用が事後調査にとどまっている場合、実際の防御判断に十分活かせないことがあります。
調査では、現在のIPインテリジェンスにおける大きな課題として、47%の組織が「IPアドレスの背後にある文脈の不足」を挙げています。
たとえば、同じ国外IPからのアクセスでも、それが通常のクラウドサービスなのか、商用VPNなのか、レジデンシャルプロキシなのかによって、取るべき対応は変わります。
すべてを遮断すれば誤検知が増え、すべてを許可すれば不正アクセスを見逃す可能性があります。重要なのは、IPアドレスを単なる接続元情報として見るのではなく、リスク判断に使える文脈情報として扱うことです。
Spurとは
Spurは、VPN、プロキシ、レジデンシャルプロキシ、Tor、ボットなど、匿名化されたアクセスの背後にある情報を可視化するIPインテリジェンスソリューションです。
単に「悪いIPかどうか」を判定するのではなく、IPアドレスに対して、ASN、組織、地理情報、インフラ種別、匿名化サービス、トンネル情報、リスク属性などの文脈を付与します。
これにより、セキュリティチームや不正対策チームは、アクセスを一律に許可・拒否するのではなく、リスクに応じて追加認証、監視強化、保留、レート制限、セッション制限、遮断などの対応を選びやすくなります。
理由1:IPアドレスの背後にある文脈を可視化
Spurの強みは、IPアドレスを単なる接続元情報ではなく、判断に使えるコンテキストとして扱える点です。
VPN、データセンタープロキシ、レジデンシャルプロキシ、Torなどの匿名化インフラに関する情報に加え、インフラ種別、地理情報、関連サービス、リスク属性などを確認できます。
これにより、「このIPは危険かどうか」だけでなく、「なぜ注意すべきなのか」「どのような対応が適切か」を検討しやすくなります。
理由2:Context APIでリアルタイム判定に活用
Spur Context APIは、ログイン、会員登録、決済、APIアクセスなどのタイミングでIPアドレスをリアルタイムに照会するためのAPIです。
取得したIP文脈は、認証基盤、不正対策システム、アクセス制御、SOC調査などに組み込むことができます。
たとえば、不審なVPNやレジデンシャルプロキシの兆候がある場合に、追加認証を求める、取引を保留する、監視対象にする、レート制限をかけるといった柔軟な対応が可能になります。
理由3:Monocleでセッション単位のリスクを評価
IPアドレス単体では、共有IPや混雑したネットワークを正確に判断することが難しい場合があります。
Spur Monocleは、Webサイトやアプリケーション上でセッション単位の評価を行う機能です。軽量なJavaScriptを利用し、IP情報とセッション文脈を組み合わせて、匿名化、自動化、ボット、異常の兆候を確認します。
これにより、すべてのユーザーに一律の追加確認を求めるのではなく、リスクに応じて必要な場面でのみ追加認証や制限を行いやすくなります。正規ユーザーへの負荷を抑えながら、不正なアクセスを見分けるための判断材料として活用できます。
理由4:Data Feedsで大規模なログ分析にも対応
Spur Data Feedsは、SpurのIPコンテキストデータを自社環境に取り込み、大規模なログ照合や履歴分析に利用するためのデータ提供形態です。
SIEM、データレイク、機械学習基盤、脅威ハンティング基盤などに取り込むことで、社内の監視・分析基盤と組み合わせた運用が可能になります。
外部APIへ都度照会するのではなく、自社環境でデータを扱いたい場合や、大量ログの照合、過去ログ調査、独自ルール作成を行いたい場合に適しています。
Spurが活用できる主なシーン
Spurは、次のような用途に適しています。
- 不正ログイン・アカウント乗っ取り対策:VPNやレジデンシャルプロキシ経由のログインを確認し、追加認証や調査判断に活用
- クレデンシャルスタッフィング対策:接続元を分散させた大量ログイン試行のリスク判定を補強
- 偽アカウント登録対策:一見通常ユーザーに見える登録アクセスの背後にある匿名化インフラを確認
- ボット・スクレイピング対策:分散した自動化トラフィックの背景を把握し、レート制御や遮断判断に活用
- 決済不正・高リスク取引の判定補強:取引時のIP文脈を確認し、追加確認や保留判断に活用
- SOC調査・脅威ハンティング:アラートに含まれるIPアドレスへ文脈を付与し、調査対象の優先順位付けに活用
- 地域制限・コンプライアンス補強:VPNやプロキシによる位置偽装の可能性を考慮したアクセス判断に活用
IPアドレスの表面的な情報だけでは判断が難しい場面でも、Spurを利用することで、その背後にある匿名化インフラやリスク属性を確認し、より現実的なセキュリティ判断につなげることができます。
まとめ:IPアドレスを判断材料に変えるSpurの価値
現在のセキュリティ対策では、WAF、認証基盤、SIEM、不正検知システムなど、さまざまな仕組みが利用されています。しかし、VPN、プロキシ、レジデンシャルプロキシを悪用したアクセスは、これらの仕組みの死角になりやすい領域です。
Spurは、IPアドレスの背後にある文脈を可視化し、不正アクセス対策、ボット対策、認証判断、SOC調査に必要な判断材料を提供します。
IPレピュテーションだけでは判断が難しい匿名化アクセスへの対策を強化したい企業にとって、Spurは有力なIPインテリジェンスソリューションです。
当ブログでは今後も、セキュリティと実務運用の両面から役立つ情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!