目次
はじめに
2025年も、ランサムウェアグループや国家レベルの攻撃者、ボットネット、レジデンシャルプロキシなどによる サイバー脅威は、従来の境界や常識を軽々と飛び越えるようになってきました。
こうした中で Censys は、インターネット全体のスキャンデータをもとに、
「攻撃者がどのようなインフラを使い、どれくらいの期間動き続けているのか」を継続的に分析しています。
本記事では、その分析結果を背景に、
実務で押さえておきたいポイントと、Censys Platform(ASM/Threat Hunting)での活用イメージを整理します。
Censysと攻撃者インフラの可視化
Censys は、インターネット上のホスト・サービス・証明書を継続的にスキャンし、 Censys Internet Map として可視化しています。 そこから得られるデータにもとづき、ランサムウェア C2 サーバ、マルウェア配布サイト、 ボットネットのノード、攻撃に悪用されるオープンディレクトリなど、 「悪意あるインフラストラクチャ」の動向を日々可視化し、分析しています。
防御側は往々にして「自組織のネットワーク内部」に意識が向きがちですが、 C2 やボットネット、プロキシといった攻撃者インフラは、 しばしば最初に変化が現れる“早期警戒シグナル”になります。 どのようなインフラが、どれくらいの期間、どの地域で稼働しているかを知ることは、 パッチ方針や監視設計を見直すうえで重要な材料になります。
インターネット観測から見える4つの着眼点
1:大規模インシデントが示すパッチ運用の現実
最近の分析では、直近数年で発生した大規模インシデントがいくつか整理されています。典型例として挙げられているのが、 ファイル転送ソフトウェアの脆弱性悪用です。ある製品では、リモートコード実行の欠陥と ファイルアップロード/ダウンロードの不備が組み合わさり、ランサムウェアグループが 数百社規模で被害を出す結果になりました。パッチは公開されていたものの、 実際の適用までに時間差があり、それが被害拡大の原因となっています。
VPN やプロキシ製品のゼロデイが狙われたケースでは、 攻撃者が数十万単位の IP に対してスキャンを行い、最終的に多数のデバイスを侵害したと報告されています。 この分析では、オープンディレクトリに残されたアーティファクトが、攻撃の裏付けとして活用されました。
- ポイント:パッチ公開から適用までの「数日〜数週間」のラグは、 攻撃者インフラ側から見ると“十分な猶予”になりうる。
- ファイル転送、VPN、プロキシ、ゲートウェイ製品など、 「インターネットに面した中核製品」の棚卸しと優先度付けが不可欠。
- Censys ASM のような外部攻撃面管理ツールで、 パッチが遅れやすい製品群をタグ付けしておくと、こうした事例を自組織に引き寄せて考えやすくなります。
2:国家レベルのマルウェアと攻撃インフラ
Censys の分析では、国家レベルのグループによるマルウェア活動も取り上げられています。 ロシア系グループが用いたマルウェアや、 北朝鮮系グループによる攻撃キャンペーンなどのケースが紹介されています。
- 軍事関連システムや国境監視システムなど、クリティカルな環境にマルウェアが侵入したケース。
- 偽の求人情報を使い、開発者や求職者を狙うソーシャルエンジニアリング型のキャンペーン。
- 一般的な VPS やクラウドサービス上で C2 インフラをホスティングするなど、 一見「普通のクラウドサービス」に見えるインフラの悪用。
これらの事例は、「怪しい IP やドメイン=マイナーなホスティング」という固定観念が通用しないことを示しています。 一般的なクラウドや VPS 上に攻撃インフラが紛れ込んでいる前提で、 通信先や証明書のメタデータを見ていく必要があります。
3:C2サーバ/ボットネットの「寿命」をどう見るか
分析の中核の一つが、C2 サーバの「生存期間(Time to Live)」です。 代表的な攻撃フレームワーク同士を比較すると、以下のような傾向が示されています。
- 広く知られたフレームワーク:平均稼働日数は短く、 利用者が多く検知も進んでいるため、露出は多いが寿命は短い傾向。
- 比較的新しいフレームワーク:平均・中央値ともに長めで、 一度立ち上がると見落とされやすい C2になっている。
また、埋め込まれた識別情報を用いた分析により、 「同じ IP/ポートがネットワーク上に見えている期間」と 「実際に悪意あるコンテンツが置かれている期間」に差があることも分かりました。 つまり、C2 インフラは壊されても、同じ場所が後から再利用される可能性があります。
ボットネットに関しては、家庭用ルーターや企業向けネットワーク機器、 NAS、IPカメラなど、さまざまな機器が踏み台として悪用されており、 感染ホスト数が数年で数万台規模にまで膨れ上がった事例も報告されています。
- ポイント:「どれくらいの頻度でインターネット全体を見直すべきか」を決めるうえで、 C2 やボットネットの寿命データは重要な指標になる。
- 短命な C2 だけでなく、長期間生き残るインフラに目を向けることで、 優先的に対処すべきリスクが見えてきます。
4:オープンディレクトリとレジデンシャルプロキシ
マルウェア配布などに悪用される オープンディレクトリの寿命も興味深いポイントです。 ネットワーク上から見たディレクトリの公開期間は短くても、 中身のファイルが実際に入れ替わるまでの期間はそれより長く、 見かけ以上に長く残り続けることが観測されています。
さらに、ボットネットがレジデンシャルプロキシとして機能する事例では、 攻撃トラフィックが「住宅回線からの正規アクセス」に見えてしまうため、 IP レピュテーションだけでは検知が困難になります。
- オープンディレクトリは、短期間で消えてもその間に多くのマルウェアや盗難データがばらまかれる可能性がある。
- レジデンシャルプロキシを悪用する攻撃では、 ホスト名・証明書・ポート・挙動など、メタデータを組み合わせた検出が重要。
- Censys には、こうした不審なディレクトリやインフラを効率的に洗い出すための検索機能や 検出機能が用意されており、インシデント調査やハンティングに活用できます。
Censys Platformでの活用イメージ
ここまでの内容を、自社の防御に落とし込む際に意識したいのは、 「ストーリーをそのまま真似る」のではなく、 チェックリストとして使うことです。Censys Platform を例に、 いくつかの具体的な使い方を挙げます。
-
外部攻撃面の棚卸し(ASM)
パッチ遅延が致命傷になりうる製品(ファイル転送、VPN、プロキシ、クラウドゲートウェイなど)を Seeds やラベルでグルーピングし、Censys ASM 上で 「どこに、どのバージョンが、どう公開されているか」を継続監視します。 -
C2/ボットネットインフラのハンティング
今回触れたような C2 フレームワークやボットネットの指標(ポート範囲、TLS 特徴、ホスティング事業者など)をもとに、 CenQL で検索条件を作成し、コレクションとアラートに落とし込みます。 Threats Dataset や Investigation Manager を使うと、関連インフラへのピボット追跡も容易になります。 -
オープンディレクトリ・レジデンシャルプロキシの監視
「ディレクトリ一覧をそのまま公開しているホスト」や、 「高位ランダムポートで TLS を話す住宅回線らしき IP」などを条件に、 疑わしいインフラを洗い出しておくことで、 社内からのアウトバウンド通信の監視にも活かせます。 -
社内の“1フロー”に絞った検証
いきなり全体最適を目指すのではなく、 たとえば「外部向けファイル転送フロー」「リモートアクセスフロー」など、 リスクが高い 1 フローを選び、 ・どのような外部サービスに依存しているか
・Censys 上でどのように見えるか
を確認してみると、今回紹介した内容が自組織に引き寄せて理解しやすくなります。
まとめ(次の一手)
Censys のインターネット観測からは、 個々のインシデントやマルウェアだけでなく、 攻撃者インフラの寿命・規模・配置が見えてきます。 そこから導かれるメッセージはシンプルです。
- パッチサイクルの数日〜数週間の差が、攻撃者インフラ側から見ると「絶好の時間帯」になる。
- C2 やボットネットの寿命を知ることは、スキャン頻度や監視設計を決める材料になる。
- レジデンシャルプロキシやオープンディレクトリなど、「見えにくいインフラ」を前提にした防御が必要。
- そして何より、インターネット全体の正確な可視性が、防御戦略の土台になる。
まずは本記事で気になったトピックを 1 つ選び、 自社の外部攻撃面や監視設計と照らし合わせてみるところから始めてみてください。 Censys をはじめとするインターネット観測プラットフォームは、 その「現状把握」と「継続的な見直し」を支えるための基盤となります。
当ブログでは今後も、さまざまな調査結果や製品を実務にどう結びつけるかという観点で情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!