「日本のGWを狙った攻撃」と思って調査したら、世界規模のボットエコノミーが見えた
1. はじめに — 直感から始まった調査 #
「最近、攻撃のブロック件数が減ってきた気がする」
BASTION を本番運用して約1ヶ月。社内でこんな声が出ました。気のせいか、それとも本当に攻撃が減っているのか — そう思って攻撃ログを分析していたところ、**2026年5月1日に異常なスパイクがあった** ことに気づきます。
通常日の3倍、約4万件のブロックが発生していました。
しかし、データを掘り下げていくと、まったく違うストーリーが見えてきました。本記事は、その「真相追跡」の記録です。
2. 仮説検証 — 日本ターゲット説は否定された #
「日本のGWを狙った攻撃」なら、近隣国(中国、韓国、ロシア)からの偵察増加が見られるはずです。しかしデータはそれを示しませんでした。
| 国 | 5/1の比率 | 通常日(5/8)の比率 | 差分 |
|---|---|---|---|
| US | 33.5% | 54.6% | -21.1% |
| RU | 2.9% | 8.3% | -5.4% |
| CN | 2.0% | 4.8% | -2.8% |
| JP | 0.0% | 0.7% | -0.6% |
| (正体不明) | 48.3% | 22.5% | +25.8% |
近隣国の比率はむしろ減少。代わりに増えたのは「正体不明の小規模 ASN」群でした。これだけで「日本ターゲット説」は崩れます。
さらに、WebサーバーレベルのAgentが捕捉したイベントは5/1の方がむしろ少なかった(432行 vs 通常日の570行)。**スパイクの正体は、L1/L4 のTCPポートスキャン**であって、日本のWebサイトを狙ったキャンペーンではなかったのです。
では、**「正体不明 ASN」とは一体何者なのか?** ここから調査が本番に入ります。
3. 「正体不明 ASN」を一つ一つ特定していく #
使用したのは公開情報のみ。具体的には:
- Team Cymru の whois サービス — ASN→組織名のマッピング
- Spamhaus DROP / EDROP / ASNDROP リスト — 既知のボットインフラ
- Tor Project の Exit Node リスト — 匿名化通信の検知
これだけで、相当深いところまで掘り下げられます。商用ライセンスは一切不要。
調査対象は、5/1 スパイクで突出した41個の ASN。これらが「世界規模のボットエコノミー」の構造を露わにしました。
4. 最大の発見 — 主犯候補は Namecheap だった #
事前調査で、5/1 スパイクの上位攻撃元の一つに **AS22612** という「正体不明」の ASN がありました。1日で1,152イベントを発火。
Team Cymru で照会すると:
Namecheap — ドメインレジストラ兼VPS事業者。世界的に有名な企業ですが、abuse 対応の遅さで攻撃者によく利用されることで知られています。
さらに興味深いのが行動パターン。AS22612 は30日間中、たった4日しか出現していないのに、そのうち5/1だけで全イベントの99% (1,152/1,163) が集中。「5/1のためだけにレンタルされた使い捨てVPS」の典型的な挙動です。
5. ボットインフラの3層構造 #
調査を進めるうちに、5/1スパイクに参加した攻撃元が3つの明確な層に分かれることが見えてきました。
| 層 | 性質 | 5/1での比率 | 代表例 |
|---|---|---|---|
| 層1 | 使い捨てインフラ(Use-and-burn) | 44% (18 ASN) | IOFLOOD, Biznet, Layerstack, OFFERHOSTINC 等 |
| 層2 | Bulletproof hosters | 32 ASN参加 | Aeza (RU), Stark Industries (MD), DMZHOST (SC) 等 |
| 層3 | 持続的大手クラウド | 46% (19 ASN) | Google Cloud, AWS, DigitalOcean, Linode 等 |
5.1 層1: 使い捨てインフラ — 「24時間で消える攻撃基盤」 #
世界中の安価VPS事業者から短期間レンタルされ、攻撃当日だけ稼働してその後消滅するパターン。調査で確認できた事業者は、米国の IOFLOOD、インドネシアの Biznet、香港の Layerstack、ハンガリーの Rackforest、バングラデシュの Wolast、マレーシアの SKSA など、世界中に分散しています。
特に興味深いのは AS208220 (OFFERHOSTINC, セーシェル)。**ASN登録日が 2025年5月19日** — つまり 5/1 攻撃のわずか半年前に登録された新規ASNです。攻撃者は新しいインフラを常に補充している。
5.2 層2: Bulletproof hosters — Spamhausが「ボット運営インフラ」と認定した32社 #
これらは Spamhaus が公式に ASN-DROP リスト (Spamhaus が「ボットネット運営インフラ」と判定した ASN 一覧)に登録した事業者。
そのうち5/1 のスパイクに参加していたのは:
- Aeza (ロシア)
- Stark Industries (モルドバ)
- PROSPERO (ロシア)
- DMZHOST (セーシェル)
- STORMINDUSTRIES (ルクセンブルク)
- IP Volume Inc (オランダ)
- VPSVAULTHOST (英国)
- Serverion (オランダ)
- その他24社
これらは abuse 報告を無視する規約で、攻撃者からプレミアム料金を取る商売モデル。bulletproof hosting と呼ばれ、世界規模の合法的なグレーゾーン事業として成立しています。
地理的分布(国別ASN数): GB 6社, DE 3社, HK 3社, NL 2社, UA 2社, MD 2社, SC 2社, BG 2社, RO 2社, US 2社, RU 2社, LT 1社, LU 1社, SG 1社, IR 1社。**司法管轄が曖昧な地域に集中**しているのが分かります。
5.3 層3: 持続的大手クラウド — 常時稼働する「背景ノイズ」 #
Google Cloud, AWS, DigitalOcean, Linode, Vultr, Hetzner, OVH, Contabo といった、誰でも使える大手クラウド。これらは30日間ずっと活動が観測されており、5/1 にも普段の数倍の活動がありました。
正規顧客と攻撃者が同じインフラを共有しているため、ASN単位でブロックすることはできません。個別IPの行動パターンを観察して、悪意のあるVMインスタンスのみを特定する必要があります。
6. Tor は 0% — 匿名性より経済合理性 #
調査で意外だったのが、Tor の使用率です。
攻撃者は Tor のような匿名化ネットワークを使っていませんでした。理由は明らかで、Tor は遅い・帯域制限がある・ボットスキャンには向かないから。それより「足がついても使い捨てればいい」VPSの方が経済的に合理的なのです。
7. 行動パターン分析 — 持続性で分かる「インフラの性質」 #
30日間のログを使って、各ASNが5/1以外の日にも登場しているかを分析しました。
| カテゴリ | 日数 | ASN数 | インフラ性質 |
|---|---|---|---|
| A. 5/1単発のみ | 1日 | 18 (44%) | 使い捨てVPS |
| B. Hit-and-run | 2-3日 | 4 (10%) | 短期キャンペーン |
| E. 持続(両側) | 4日以上 | 19 (46%) | 常時稼働インフラ |
「使い捨て率(burn rate)」は 53.7%。半分以上のASNが短期間で消える運用をしている、ということです。
持続的に活動している19のASNは、ほとんどが Google Cloud / AWS / DigitalOcean / Vultr / Hetzner といった大手クラウドで、これらは正規顧客と攻撃者が混在しているため、「悪意のあるインスタンスだけ」を見分ける必要があります。
8. 防御側への示唆 — BASTION の設計判断は正しかった #
この調査から、BASTION の設計判断のいくつかが結果として正解だったことが分かります。
8.1 自動失効TTLが「使い捨てサイクル」と一致 #
BASTION は意図的ブロックを有限のTTLで自動失効させる設計です。当初は「誤検知の永続化を防ぐため」に決めた仕様でしたが、結果的に攻撃インフラの典型寿命と整合する合理的な設計になっていました。
8.2 個別IPブロックではなくASN単位の検知が必須 #
使い捨てVPSは24時間でIPが変わります。個別IPを追い続けるのは焼け石に水。同一ASN内で複数IPが同時刻に異種スキャンを行う行動パターンを捉えれば、IPが変わっても捕捉できます。BASTION が グループ相関検知でASN単位のグループ化を実装している理由は、まさにこれです。
8.3 Spamhaus ASN-DROP との連動 #
Spamhaus が公式に bulletproof hosters と認定したASNは410個。これらからのトラフィックは自動的に疑わしいと扱う設計が有効です。BASTION の今後の改良として、ASN-DROP リストの自動取り込みと感度上昇を実装予定です。
8.4 24/7自動防御の意義 #
5/1のようなSOC人員が薄くなる時間帯に攻撃が集中する以上、人間がいなくても自動で完結する防御体制が必須です。BASTION は最初からこれを前提に設計されています。
9. 教訓 — 「気のせい」の調査から見えたもの #
「攻撃のブロック件数が減ってきた気がする」という社内の何気ない発言から始まった調査が、最終的に世界規模のボットエコノミーの構造を可視化することになりました。
調査をまとめると:
- 5/1のスパイクは日本ターゲットではなく、グローバルなボット活動の高まりだった
- 主犯は Namecheap のVPSを24時間レンタルした使い捨て攻撃
- 世界中の安価VPSが攻撃インフラとして大量に消費されている
- 32社のSpamhaus認定 bulletproof hostersが当日参加していた
- Tor 経由は0%、すべてVPS経由 — 経済合理性で動く現代の攻撃者像
- BASTION の自動失効TTL・ASN単位検知・24/7自動防御は、結果としてこの「使い捨てエコノミー」に対する正しい設計だった
「ブロック件数が減ったのは BASTION の効果か?」という最初の問いに対する答えは、まだ確定的なことは言えません。30日のサンプルは短すぎる。お盆や年末年始など他の長期休暇でも同様の観察を続けて、再現性を確認する必要があります。
ただ、調査の過程で得られた知見の方が、当初の問いの答えよりも価値あるものになりました。
10. 今後の展開 #
- お盆(8/13-15)、年末年始(12/29-1/4) での再現確認 — 日本固有休暇でも同様のスパイクがあるか
- Spamhaus ASN-DROP の自動取り込み — BASTION の感度判定への組み込み
- 「短期VPSキャンペーン検出」のアルゴリズム化 — 「短期間に集中して大量スキャンを行うASN」を機械的に特定
- カレンダー連動の感度自動調整 — 連休前後で閾値を厳しめに設定
これらは順次取り組みます。BASTION の進化は続きます。
12. お問い合わせ #
BASTION の導入をご検討の企業様、共同実証プログラムにご興味のある方は、お問い合わせフォーム からご連絡ください。
本記事のような「実環境ログの統計分析」は、BASTION 導入企業様向けに四半期レポートとしてご提供可能です。スコープに応じた個別見積でご提案いたします。
