研究者たちは、不正トラフィックのルーティングに使用される住宅用プロキシがIPレピュテーションシステムにとって重大な問題であると警告しています。これは、攻撃者と正規ユーザーの間に明確な区別がないためです。主な理由として、住宅用プロキシは寿命が短すぎたり、関与が薄かったり、体系的にローテーションされたりするため、防御システムが時間内に効果的にカタログ化できないことが挙げられます。 サイバーセキュリティインテリジェンスプラットフォームである**GreyNoise**は、3ヶ月間にわたるエッジを標的とした40億件の不正セッションの巨大なデータセットを調査した結果、この結論に至りました。 ### 主要な発見 * これらのセッションの約39%は家庭用ネットワークから発信されているように見え、住宅用プロキシネットワークの一部であることを強く示唆しています。 * これらのセッションの顕著な78%は、レピュテーションフィードに対して不可視です。 「このデータは、ネットワーク防御の基本的な仮定に挑戦するパターンを明らかにしています。それは、トラフィックの発信元によって攻撃者と正規ユーザーを区別できるというものです」と**GreyNoise**は説明しています。 同社によると、ほとんどの住宅用IPは、消滅する前に1〜2回しか使用されず、攻撃者はレピュテーションシステムによってフラグが立てられるのを避けるために、それらを急速にローテーションさせています。 * 住宅用IPの約89.7%は、1ヶ月未満の間、不正な操作でアクティブです。 * 2ヶ月間アクティブなのはわずか8.7%です。 * 3ヶ月間持続するのはわずか1.6%です。 研究者によると、長期間アクティブなIPは、SSHに焦点を当て、Linux TCPスタックを利用するなど、専門化する傾向があります。  多様性も、検出とブロックの取り組みをさらに複雑にしています。**GreyNoise**のデータによると、攻撃に参加している住宅用IPは、683の異なるインターネットサービスプロバイダーに属しています。 それらのステルス性のもう一つの要因は、ネットワークスキャンと偵察への主な使用です。研究者たちは、実際のexploitに関与しているのはわずか0.1%であると指摘しています。 ごく一部（1.3%）がエンタープライズVPNログインページを標的としており、限定的なケースでは、パス走査やクレデンシャルスタッフィングの試みにも住宅用IPが関与していました。 これらの住宅用プロキシのソースに関して、**GreyNoise**は中国、インド、ブラジルを主要な貢献国として特定しています。これらのIPからのトラフィックは人間の睡眠パターンに従い、ほとんどのユーザーがデバイスの電源を切る夜間には約3分の1減少します。  研究者たちは、住宅用プロキシトラフィックは、IoTボットネットと感染したコンピューターという、重複しない2つの異なるエコシステムによって生成されていると報告しています。 後者の場合、プロキシは、無料VPN、広告ブロッカー、および同様のアプリに埋め込まれたSDKから発生し、ユーザーデバイスを帯域幅販売スキームに登録します。 **GreyNoise**は、世界最大の住宅用プロキシネットワークの1つである**IPIDEA**の例を挙げて、これらのネットワークの回復力も強調しました。**Google Threat Intelligence Group (GTIG)**とそのパートナーは最近**IPIDEA**を妨害しました。 この妨害により、プロキシプールは約40%減少しましたが、その後データセンターのトラフィックが増加し、需要は他のプロバイダーによって吸収され、失われた容量は急速に補充されることを示しています。  ### 緩和戦略 **GreyNoise**は、住宅用プロキシの回避戦術は、IPレピュテーションを主要なシグナルとするのではなく、代わりに動作分析に焦点を移す必要があると強調しています。 研究者たちは以下を推奨しています。 * ローテーションする住宅用IPからの連続的なプロービングを検出する。 * ISPスペースからのSMBのような明らかに不正なプロトコルをブロックする。 * IPローテーションにもかかわらず持続するデバイスフィンガープリントを追跡する。