IP マスキングとは:ボットやクラッカーが身元を隠す方法
ジェフリー・エドワーズ
|サイバー犯罪 | 2023年2月15日
不正トラフィックを防ぐために複数のセキュリティチェックを実施していても、不正クリックがなくならないことは、残念ながらよくあります。
多くのクラッカーは、IP マスキングを使用して身元を隠し、正当な流入元からの無害なトラフィックであるように偽装し、正規のユーザーの行動を模倣することによって、セキュリティ対策を回避しているのです。
当記事では、IP マスキングについて知っておくべきこと、検知方法や対策について説明します。
IP アドレスとは
IP とはインターネットプロトコルの略で、インターネット上でデータを転送する際に必要な通信規約です。そして、IPアドレスは、ネットワーク上の機器を識別するための、住所のようなもので、インターネットに接続されている各デバイスは、データを要求するクライアント(ブラウザなど)と要求に応答するサーバーの間での双方向通信を実現するために、固有の IP アドレスを持っています。
IP アドレスは、サーバーに対して、誰がリクエストを行い、どこに情報を送信するべきかを伝え、さまざまな目的で「追跡」されています。一例としては、マーケティングでは、購買意欲の高い人々に最も関連性の高いコンテンツを提供できるよう、オンライン広告のターゲティングに利用されています。
IP アドレスは、指紋のような一意の識別子としても機能し、サイバーフォレンジック調査においては、当局が悪質な行為の発信元を突き止める上で役立ちます。そのため、クラッカーやボットは、IP マスキング技術を使用して、検出を回避することがよくあります。
IP マスキングとは
IP マスキングは、IP アドレスを隠したり、別の IP アドレスに置き換えたりする技術です。これにより、ユーザーの匿名性が保たれ、ユーザーの位置情報を特定したり、ユーザーの身元をWeb 上の活動と関連付けたりすることが困難になります。
なぜ、IP マスキングを隠すのか?
ユーザーが IP アドレスを隠す正当な理由は数多くありますが、主にプライバシーと匿名性を維持するためです。
- 物理的な住所を非公開にする。
- 企業による個人情報収集を防止する。
- インターネットサービスプロバイダー(ISP)によるオンライン活動の追跡を防止する。
- オンライン検索履歴を非公開にする。
- 悪意のある広告や邪魔な広告を回避する。
- 検閲やジオブロッキングを回避し、特定の国で規制されているコンテンツや著作権で保護されているコンテンツにアクセスする。
ボットやクラッカーが IP マスキングをする理由
アドフラウド、フォームジャッキング、Web スクレイピングなどの違法行為では、IP マスキングを悪用して身元を隠し、正規ユーザーの行動を模倣してセキュリティチェックを回避することがあります。
クリックファームやボットネットからのトラフィックの IP アドレスを変更すると、クリックが一箇所からではなく、複数箇所から行われているように見せかけることができます。また、不正行為に対する高い報酬を実現するため、リスティング広告(PPC)のクリック単価の高い地域に IP アドレスを変更することもあります。
さらに、IP マスキングを悪用して、IP ブロッキングやフィルタリングを回避し、Web サイトに対して DDoS(分散型サービス妨害)攻撃を行い、大規模なサービス障害を引き起こす場合もあります。
ボットやクラッカーが IP マスキングをする手法
ボットやクラッカーは、IP アドレスを隠すためにさまざまな技術を利用しています。ここでは、一般的な方法をいくつか紹介します。
レジデンシャルプロキシ
レジデンシャルプロキシ(住居用 IP)には、正規の ISP が住宅所有者に提供しているプロキシを提供しています。そのため、レジデンシャルプロキシは、信頼性が高いという特徴があります。したがって、レジデンシャルプロキシを経由して、トラフィックを送信すると、ボットによる訪問やクリックを正当なトラフィックに見せかけることができます。
仮想プライベートネットワーク
仮想プライベートネットワーク(VPN、Virtual private network)は、起動するたびに、新しい固有のIPアドレスを持つ仮想的な場所を作成します。VPN は、トラフィックをグローバルなサーバーネットワーク経由でルーティングすることにより、実際とは異なる地域から発信されているように見せることができます。
クリックファームやボットネットは、VPN を利用して大量の不正クリックを行うことがよくあります。CHEQ が数十億件のインプレッションを分析した結果、不正クリックの21%に位置情報の匿名化が含まれていることが判明しました。
ボットネット
クラッカーは、地理的に分散したランダムなデバイスを、所有者に気づかれないようにマルウェアに感染させ、制御します。これらのデバイスを経由してトラフィックが送信されると、クラッカーの位置情報や身元を隠ぺいすることができます。
ボットネットによるトラフィックは、それ自体が疑わしいわけではない個々の IP アドレスから来るため、不正行為をブロックすることは非常に困難です。さらに、IP アドレスのひとつをブロックしたとしても、ボットネットによるトラフィックはそれ以外の何千もの IP アドレスを悪用し、Web サイトに侵入してしまう可能性があります。
TOR などの匿名ブラウザ
TOR(トーア、The Onion Router)は、複数のリレーノード(網状構造の構成要素)を使用することで、ユーザーの身元と送信元を隠すことができる無料のネットワークです。各ノードは、その前後の IP アドレスしか把握しておらず、仮にトラフィックが傍受されたとしても、データを解析して発信元の IP アドレスを明らかにすることは非常に困難です。
IP マスキングされたトラフィックを検出する方法
マーケティングにおいて、IP マスキングが引き起こす最大の課題はアドフラウドです。クラッカーは、クリックファームやボットネットによるトラフィックに IP マスキングを行うことで、正規のクリックであるように偽装することができます。また、リスティング広告のクリック単価の高い地域(北米やヨーロッパなど)からのクリックに見せかけることで、企業の広告予算を枯渇させることも可能です。
以下に、IP マスキングされたトラフィックを検出する方法を説明します。
サイトトラフィックの監視
IP マスキングを用いたトラフィック対策の最初のステップは、Web サイトにアクセスしているドメインを追跡することです。疑わしい場所から多くのクリックがあった場合、Web サイトや広告キャンペーンが標的にされている可能性があります。サーバーのログを分析することで、疑わしい IP アドレスを発見し、ブロックすることができます。
複数の識別子の使用
しかし、不正トラフィックを特定するために IP アドレスだけに頼っていると、IP アドレスを高速に変更して攻撃を行うクラッカーやボットネットと一緒に、正当なトラフィックも一緒にブロックしてしまう可能性があります。
こうしたクラッカーに対抗するには、多くのデータポイントを分析し、デバイス ID、ブラウザの種類、行動パターンなどの複数の識別子を使用して、不正トラフィックを発見する必要があります。
パケットヘッダに含まれる疑わしいデータの精査
パケットの内容、送信元、送信先に関するデータを含むパケットヘッダを精査すると、リクエストを送信したブラウザの種類やバージョン、OS など、トラフィックの正当性を確認する上で役に立つ技術的な情報を見つけることができます。
たとえば、同じ IP アドレスから異なるブラウザや OS で多数のリクエストがあった場合、そのIP アドレスはプロキシである可能性が高いです。その IP アドレスからのユーザーをさらに分析し、古いブラウザなどの兆候を探すことで、正当なトラフィックのブロックを避けることができます。
偽装したユーザーの発見
さらに詳しく調べると、ユーザーが意図的に偽装していないかどうかを確認することができます。クラッカーは、自分のデータを改ざんすることがよくあるため、そのようなユーザーと、VPN を使用しているプライバシー意識が高い 訪問者を区別するのに役立ちます。
たとえば、モバイルからのリクエストであるにもかかわらず、パケットヘッダに(モバイルデバイス用には存在しない)ブラウザの拡張機能が表示されている場合、そのユーザーはデータの一部を改ざんしており、フラウド行為を行っている可能性が高いと判断できます。
Go-to-Market セキュリティの導入
上記の対策をすべて実施することは非常に手間がかかります。不正トラフィックを手動で軽減することはある程度可能ですが、外部プロキシのブロックリストの作成や、不正トラフィック特定のためのコード解析は、それだけでも多くの時間と労力を要します。
セキュリティに真剣に取り組む企業にとって、Go-to-Market セキュリティ向けプラットフォームは、不正トラフィックを自動的に検出してブロックし、マーケティングのインサイトを高める上で効果的です。
CHEQ は、何千ものセキュリティチェックを活用して、Web サイトにおけるトラフィックをリアルタイムで評価し、ユーザーが正当か、疑わしいか、不正かを判断し、当該ユーザーのブロックやリダイレクトなど適切な対応を行います。顧客獲得単価を引き下げ、Go-to-Market 施策を保護する CHEQ の無料診断をお試しください。
元の記事:What is IP Masking? How Bots and Fraudsters Hide Their Identity Online