IPアドレスの素性を突き止め、VPN経由のアクセスかどうかを判別する Criminal IP FDS

Corton

Tech

2023.6.7

Topics

はじめに
VPN IP照会API: 悪意のあるユーザー及びネットワーク侵入者を特定
世界中のVPN IPアドレスを特定
フレッシュなVPN IPアドレスデータでVPNを特定
最新のVPN IPアドレスデータを高速のAPIで提供

はじめに

NHNテコラスは、先日、 Criminal IPの取り扱いを開始しました。
今回は、Criminal IPのVPN照会APIに関する内容をお届けします。

※本記事は「VPN 検知: 悪意のあるユーザー及びネットワーク侵入者を特定」から一部用語の変更や文言の修正を行い転載しております。

VPN IP照会API: 悪意のあるユーザー及びネットワーク侵入者を特定

Criminal IP API の強みの一つである「VPN IP照会API」（Criminal IP FDS）は、悪意の有る無しにかかわらず、VPNを利用して匿名的にアクセスして来るユーザーを特定することが出来ます。Criminal IP（https://www.criminalip.io/ja）は、 VPNのIPアドレスを含む、膨大なIPアドレスデータベースを、企業や公共機関のセキュリティチームで有効活用して頂けるよう、APIとして提供しています。

VPN（仮想プライベートネットワーク）サービスは、多くの国において、個人情報を守るセキュリティツールとして提供されていますが、実のところ、悪意を持ったハッカーによって使われるケースが多いです。攻撃者は、企業や公共機関のネットワークへ侵入する際、追跡を避けるためにVPNを利用します。VPN の匿名性を利用して企業や通常のユーザーに対し被害を及ぼそうとする悪意的なユーザーもいます。我々は、VPN経由でアクセスしようとして来るユーザーを検知し、起こり得る脅威に対し事前に予防しなければいけません。

［Youtube］VPN IPアドレスをチェックする方法（英語）

世界中のVPN IPアドレスを特定

不特定多数のユーザーIPアドレスの中からVPNの使用を特定するためには、全てのIPアドレスデータが必要となります。Criminal IPは、全世界42億のIPアドレスを対象に、独自のアルゴリズムを通じてポート及びバナー情報を収集・分析した成果として、IPアドレスデータベースをAPIで提供します。

VPN IPの照会・特定は、Criminal IP検索エンジンのIT資産検索でも簡単に行うことが出来ます。

https://www.criminalip.io/ja/asset

IT資産検索で特定のIPアドレスを検索します。
通常のIPアドレスの場合には、下の画面キャプチャのように、サマリーの検知セクションに “N/A” または、”False” として表記されます。この場合は、そのIPアドレスがVPN、Tor、Proxy、Hostingなどの特定目的で使われるIPアドレスではないことを示します。

通常のIPアドレスを Criminal IP IT資産検索で照会した結果：

通常のIPアドレスを Criminal IP IT資産検索で照会した結果

一方で、VPNとして利用されるIPアドレスを IT資産検索を使って検索すると、下のようにIPアドレスの隣の Tag に“VPN”として表記され、サマリーのVPN IPでも“True”として表記されます。

VPNとして利用されるIPアドレスをCriminal IP IT資産検索で照会した結果：

VPNとして利用されるIPアドレスをCriminal IP IT資産検索で照会した結果

フレッシュなVPN IPアドレスデータでVPNを特定

サイバーセキュリティの予防を目的としてVPN IPアドレスを特定するための二つ目の条件は、データの「新鮮さ」です。VPN IPアドレスは毎日新しく生成と削除を繰り返します。それで、古いIPアドレスデータを使うと、VPN ユーザーではない通常のユーザーを間違えてVPNユーザーとして特定し、ブロックしてしまうかもしれません。

Criminal IP API はライブサービスのユーザーを特定できるほど最新のデータを提供しているので、新しく生成されたり、削除されたりしたVPN IPアドレスでも、全部正確に特定することができます。

Criminal IP のIPアドレスデータのアップデートの周期：

Criminal IP のIPアドレスデータのアップデートの周期

最新のVPN IPアドレスデータを高速のAPIで提供

Criminal IPのVPN IPアドレスデータは、企業や公共機関で既に使われているセキュリティシステムやセキュリティ監視システムと連動して活用することができます。CIPは、Criminal IP APIとして、VPN IPを含む、全ての脅威インテリジェンスデータを提供しています。また、Criminal IP APIのレスポンスは高速で1秒以内に返します。企業や公共機関のネットワークにおいて、ライブサービスのリアルタイムユーザーを特定するためには高速なAPIレスポンスは極めて重要です。

Criminal IP API に関する説明：

Criminal IP API に関する説明

Criminal IP のデベロッパーメニューでは API利用のためのコードと実例をご覧頂けます。

https://www.criminalip.io/ja/developer/api/get-ip-vpn

Criminal IPのデベロッパーメニューでVPN IP検索クエリのためのコードと例：

Criminal IPのデベロッパーメニューでVPN IP検索クエリのためのコードと例

VPN IP検索クエリを含む全てのCriminal IP APIは、Criminal IP 会員登録の後、マイ情報ページの API キーをコピーして、すぐに利用することが出来ます。大量の API Call を必要とするエンタプライズ向けのお客様のためにも、カスタマイズ及びオーダーメイド Call 数も提供しています。

この他、様々なCriminal IPの利用例にご関心を持たれた方は、NHNテコラスまでお問い合わせ下さい：

https://nhn-techorus.com/c-chorus/criminal-ip/