概要
Spur(スパー)は、詐欺防止とセキュリティ向上のためのIPインテリジェンスを提供するサービスです。
サイバー攻撃者は多くの場合、匿名化サービス(VPN、レジデンシャルプロキシ、ボットネットなど)を使用して自分の身元を隠そうとします。Spurは800以上の匿名化サービスを追跡しており(※)、これらのインフラストラクチャを追跡し、攻撃者のパターンや活動を特定することが可能です。これにより、攻撃の早期発見と防止が可能になります。また、過去に発生したセキュリティインシデントの調査にも活用することが可能です。
※Spurが追跡している匿名化サービスは、タグ一覧で確認することが可能です。また、各サービスの説明は以下のようなページ(https://spur.us/tags/タグ名)でご確認いただけます。
https://spur.us/tags/ABCPROXY_PROXY
あるいは各種ウェブサービスを提供する事業者にとっては、クレジットカード詐欺や不正な金銭取引、偽アカウント作成、アカウント乗っ取りなどの事件・事故を未然に防げるようになります。
サイバーセキュリティ文脈におけるレジデンシャル・プロキシのリスクについては、例えば以下のブログ記事で取り上げられています。
製品・プラン・価格一覧
Spurの製品は大きく分けると、APIで利用可能な Context API 、データフィードを提供する Data Feeds、ウェブサイトに設置するJavascriptとして機能する Monocle(99.7%の検出率を誇り、Captchaでは検出できないような不正アクセスの検出も可能)の3製品があります。本ページでは、Context API と Data Feeds について説明します。Monocle についてのご案内をご希望の方は、お問合せください。
Context API と Data Feeds の両者の重要な違いとして、Context API では過去のデータセットにアクセスすることはできないため、過去のデータセットが必要な場合は Data Feeds が適しています。
Spurはデータを蓄積してきた歴史が長く、過去のデータセットも豊富であるため、過去に発生したサイバー攻撃事案の調査などにおいては特に有用です。
※レジデンシャルプロキシIPは常時更新され短期間で変更されることが多く、その時点での最新情報しか持たないAPIだけでは十分な調査を行えない可能性があります。
ただし「SIEMなどと連携してセキュリティインシデントを検知する」といった運用の場合は、Context API で十分な場合が多いです。ご利用用途に応じて、どちらが適切かをご検討ください。
Data Feeds に属するプランを分類すると、Anon、Anon+Res、Anon+Res RT の3つのプランがあります。Anon = Anonymous、Res = Residential、RT = Real Time から来た名称です。
Anon フィードには、データセンタープロキシとVPNを用いて匿名化されたIPデータなどが含まれます。ただしデータセンタープロキシなどは通常、悪意のあるアクティビティには使用されず、追跡が比較的容易です。一方で、悪意のあるアクティビティに利用されることが比較的多い、レジデンシャルプロキシなどを用いて匿名化されたIPデータは含まれません。Anonフィードのみを使う場合、犯罪者が利用している匿名サービスに関する大部分の情報を見逃してしまうことになることにご留意ください。
レジデンシャルプロキシなどを用いて匿名化されたIPデータにもアクセスするためには、Anon+Res フィード または Anon + Res RT フィード のプランの契約が必要です。
Anon + Res RTフィードでは、5分ごとの鮮度の高い情報を見ることができるため、より新しい情報が必要な場合はこのプランが適しています。
プランの比較表は以下の通りです。
| ライセンス | Context API - Community API | Context API - Enterprise API | Data Feeds - Anon | Data Feeds - Anon + Res | Data Feeds - Anon + Res RT |
|---|---|---|---|---|---|
| 価格 | $1,188〜 (クエリ上限による) | $40,000〜 (クエリ上限による) | ★★★☆☆ お問合せください | ★★★★☆ お問合せください | ★★★★★ お問合せください |
| 利用形態 | API | API | データフィード | データフィード | データフィード |
| APIクエリ上限(月間) | 50,000〜 | 2,500,000〜 | N/A | N/A | N/A |
| SLA | N/A | N/A | N/A | ||
| 過去データへのアクセス | |||||
| 5分ごとのデータ配信 | |||||
| 未サマリーの生の観測データ | |||||
| 焦点にするインフラ | データセンター + ISP | データセンター + ISP | データセンター | データセンター + ISP | データセンター + ISP |
| 1日あたりのIP数・イベント数 | N/A | N/A | 約1000万IP | 3400万超IP | 1億超イベント |
| 平均非圧縮データサイズ | N/A | N/A | 1.75GB | 8GB | 25GB以上 |
| 参照可能なIP | |||||
| - VPN関連IP | |||||
| - データセンタープロキシ関連 | |||||
| - ISPプロキシ関連 | |||||
| - 匿名IP関連 | |||||
| - Torインフラ関連 | |||||
| - コールバックプロキシ関連 (レンデシャルプロキシ、マルウェアプロキシ、ブロックチェーンVPNなど) |
以下をはじめとする各種情報を確認することが可能です。
- Infrastructure:インターネットインフラのタイプ。
- DATACENTER – 一般的なデータセンターおよびVPSインフラストラクチャ。
- MOBILE – モバイルネットワークおよび関連するインフラストラクチャ。
- SATELLITE – 長距離衛星関連インフラストラクチャ。
- IN_FLIGHT_WIFI – 航空機内のWi-Fiに関連するインフラストラクチャ。
- GOOGLE – 公共のWi-Fiスペースや信頼できないモバイルネットワークからのトラフィックを集約してルーティングするGoogleのインフラストラクチャ。
- Risk:悪意のある、または疑わしい行動のタイプで、リスクと見なされる可能性があるもの。
-
CALLBACK_PROXY – ネットワーク内に、レジデンシャルプロキシ、マルウェアプロキシ、その他のコールバックプロキシタイプのネットワークのトラフィックをルーティングするデバイスがあるということを示す。
-
GEO_MISMATCH – ネットワークのデータセンターまたはホスティングの場所が、ユーザーやその背後にあるデバイスの場所と異なることを示す。
-
LOGIN_BRUTEFORCE – ネットワークまたはIPアドレスが、ウェブフォームに対して持続的なログイン試行を行っていることを示す。
-
TUNNEL – ネットワークが、VPN、プロキシ、またはその他のサービスの出口ポイントであることを示す。
-
WEB_SCRAPING – ヘッドレスブラウザおよびその他の自動化された活動が観測されていることを示す。
-
- Client Behavior
- FILE_SHARING – トレントやP2Pトラフィックが観測されたかどうか。
- <SERVICE_TAG>_USER – (レジデンシャルプロキシなどの)匿名化サービスを利用しているユーザー。
- Service Category:匿名化サービスの分類。
- BLOCKCHAIN_VPN – ブロックチェーンを利用して運営される分散型VPN。
- CDN_PROXY – CloudflareやFastlyなどのCDNスペースからルーティングされるプロキシサービス。
- COMMERCIAL_VPN – データセンター内に存在する従来型のVPNサービス。
- DATACENTER_PROXY – 完全にデータセンタースペース内でホスティングされている従来型のプロキシプロバイダ。
- ENTERPRISE_VPN – セキュリティのためにエンタープライズ顧客によって使用され、匿名ではないサービス。
- FREE_VPN – 完全に無料のVPNサービス。
- ISP_PROXY – 住宅用ISPに存在する静的なプロキシ。
- MOBILE_PROXY – 実際の4G/LTEネットワークを介してルーティングされるプロキシ。
- P2P_PROXY – 通常ブロックチェーンVPN上に構築されているプロキシサービス。
- PUBLIC_PROXY – オープンソースで公開されて運営されているプロキシサービス。
- RESIDENTIAL_PROXY – SDK、マルウェア、および有償のプロキシサービス。
- ZTNA_PROVIDER – ZscalerやNetskopeなどのゼロトラストセキュリティアプライアンス。
参考情報
Spur社各種ドキュメントページ:クイックスタートなどを参照することが可能です。
