韓国市場を中心に驚異的なスピードで成長しているウェブコミック市場は、その規模が大きくなった分、違法ウェブコミックサイトによる著作権問題も深刻になっています。見つかった違法ウェブコミックサイトが閉鎖されてもすぐに新しいドメインに変えて運営され、海外にサーバーを置いて捜査の手を避けるため、根絶されていない状況です。
ブロックと生成を繰り返しながら運営されている違法ウェブコミックサイトのNEWTOKI(newtoki9999[.]com)は、その中でも悪名高いサイトです。今回の記事では、OSINT基盤の脅威ハンティングツールであるCriminal IPを活用して、NEWTOKIサイトの実際のIPアドレスを見つけ出し、運営者情報を追跡した結果をご紹介します。
脅威ハンティングツールでNEWTOKIの実のIPアドレスを追跡する
本記事を書いている時点で運営されているNEWTOKIのドメインアドレスnewtoki9999[.]comのIPアドレスを確認してみると、2つのIPアドレスがドメインにマッピングされていました。
- 104[.]21[.]19[.]32
- 172[.]67[.]184[.]237
しかし、発見されたIPアドレスだけでは運営者情報を追跡することは難しいです。このIPアドレスは、NEWTOKIの運営者がリアルIPアドレスを隠し、捜査を回避するために使用したクラウドフレアのIPアドレスであるためです。
このように隠されたIPアドレスのReal IPアドレスを見つけることができれば、NEWTOKIの運営者に関するより多くの情報を確認できるでしょう。OSINT基盤のCTI検索エンジンCriminal IPのドメイン機能ではクラウドフレアに隠されたReal IPを追跡することができます。
ドメイン検索を利用し、NEWTOKIサイトのドメインをリアルタイムでスキャンして出てきたレポートでReal IPの項目を確認します。Real IPの項目で、この違法ウェブコミックサイトの実際のIPアドレスは104[.]21[.]19[.]32であることが確認されました。つまり、このIPアドレスがNEWTOKIの運営者の実のサーバーIPアドレスです。
NEWTOKIのReal IPで確認した違法ウェブコミックサイトの位置情報
このIPアドレスをCriminal IPのIPアドレス照会機能であるIT資産検索で確認してみると、「SIA VEESP」というASネームが確認できました。このASネームはVeespという(https://veesp.com/)ホスティング会社がホスティングしたドメインで確認できるASNです。
また、確認されたReal IPの位置情報の国コード「BZ」は、中央アメリカのベリーズ(Belize)です。中央アメリカは、犯罪組織の影響力が強い国が多いことで知られています。このような環境では、違法活動を密かに支援したり、目をつぶってくれる可能性が大きいです。ちなみに、韓国の違法映像ストリーミングで大きな悪名を博した「NunuTV」も、中央アメリカに位置するドミニカ共和国に所在しました。
追加で確認できる情報として、当IPアドレスにMariaDB(3306ポート)とSSH(22ポート)が稼働していることも確認できます。
Criminal IPの検索フィルターを使用すると、「SIA VEESP」でホストされている他のウェブサーバーも検出することができます。IT資産検索でas_name: “SIA VEESP”を検索した結果、約23,000台のサーバーが発見され、ラトビア、ロシア、ベリーズ、オランダの4カ国に位置していることが分かります。
違法サイトの追跡に欠かせないReal IPの検出
このように、実際のIPアドレスを隠して運営されている違法サイトは、Criminal IPのReal IP検出機能で検出することができます。(もちろん、残念なことに、強く決心して徹底的に隠せばさらに深く隠すことができるため、検出されない可能性も存在します。)
閉鎖と生成を繰り返し、粘り強く違法ウェブコミックサイトを運営するサイバー犯罪組織は、実際に運営されているサーバーの位置を把握することが捜査の最大の難関です。この時、Criminal IPのような脅威ハンティングOSINTツールを使用すると、ヒントになりうるです。
関連して、ディープフェイクサイトの追跡をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
