防弾ホスティング

防弾ホスティング（BPH）は、違法行為の苦情に耐性のあるインターネットホスティングサービスによって提供される技術インフラストラクチャサービスであり、犯罪者がさまざまなサイバー攻撃を合理化するための基本的な構成要素として機能します。^{[ 1 ]} BPHプロバイダーは、オンラインギャンブル、違法ポルノ、ボットネットのコマンドアンドコントロールサーバー、スパム、著作権で保護されたコンテンツ、ヘイトスピーチ、誤情報を、裁判所の削除命令や法執行機関の召喚状にもかかわらず、許容される使用ポリシーで許可しています。^{[ 2 ] [ 3 ] [ 4 ]}

BPHプロバイダーは通常、そのような行為に対する法律が緩い管轄区域で事業を展開しています。BPH以外のサービスプロバイダーのほとんどは、自社の利用規約および管轄区域の現地法に違反する資料のネットワーク経由の転送を禁止しており、不正使用の報告があった場合、他のプロバイダーやSpamhausによって自律システムのIPアドレスがブラックリストに登録されるのを避けるため、削除されることがよくあります。^{[ 5 ]}

BPHが初めて研究対象となったのは2006年、VeriSignのセキュリティ研究者が、フィッシンググループをホストしていたインターネットサービスプロバイダーのRussian Business Networkが、フィッシング関連の詐欺で約1億5000万ドルの責任を負っていたことを明らかにしたときでした。RBNはまた、個人情報の盗難、児童ポルノ、ボットネットでも知られています。[ 6 ] ^{[ 7 ] [ 8 ]翌年、世界中}のスパムの75%以上に関与していたウェブホスティングプロバイダーのMcColoが、ワシントンポストの記者だったブライアン・クレブスが同紙のSecurity Fixブログで暴露した後、Global CrossingとHurricane Electricによってシャットダウンされ、ピアリングが解除されました。 ^{[ 9 ] [ 10 ]}

BPHへの不正使用報告は無視されるため、ほとんどの場合、BPHの自律システムに割り当てられたIPブロック（「ネットブロック」）全体が、他のプロバイダやサードパーティのスパムフィルタによってブラックリストに登録されます。さらに、BPHプロバイダのネットワークをルーティングすると、上流の自律システムやトランジットプロバイダの評判に影響を与える可能性があるため、BPHはボーダーゲートウェイプロトコルセッションを確立するためのネットワークピアリングポイントを見つけることも困難です。^{[ 11 ]}これにより、BPHサービスが安定したネットワーク接続を提供することが困難になり、極端な場合には完全にピアリング解除される可能性があります。^{[ 1 ]}そのため、BPHプロバイダは、BGPランキングやASwatchなどのASの評判に基づく強化を、型破りな方法で回避しています。^{[ 2 ]}

ある報告書によると、困難が増大しているため、BPHプロバイダーは、ローエンドのホスティングプロバイダーとの再販業者関係の構築に従事しています。これらのプロバイダーは、違法行為の支援に加担していませんが、不正使用の報告に寛容である傾向があり、詐欺の検出に積極的に関与していません。^{[ 1 ]}そのため、BPHは、ローエンドのホスティングプロバイダーの背後に身を隠し、より良い評判を活用し、サブ割り当てられたネットワークブロックを通じて、防弾と合法の両方の再販を同時に操作しています。^{[ 12 ]}ただし、BPHサービスが摘発されると、BPHプロバイダーは、クライアントを新しいインターネットインフラストラクチャ、つまり新しいローエンドASまたはIPスペースに移行し、以前のASのブラックリストに登録されたIPアドレスを事実上、一時的なものにします。こうして、リスニングサービスのDNSサーバーのリソースレコードを変更し、現在のASのIPスペースに属する新しいIPアドレスを指すようにすることで、犯罪行為を継続します。^{[ 12 ]}プライバシーへの配慮から、BPHプロバイダーの通常の連絡方法としては、ICQ、Skype、XMPP（またはJabber）などが挙げられます。^{[ 13 ] [ 14 ]}

ほとんどのBPHプロバイダーは、著作権侵害や裁判所命令による削除通知、特にデジタルミレニアム著作権法（DMCA）、電子商取引指令（ECD）、法執行機関の召喚状に対する免責を約束しています。また、フィッシング、詐欺（高利回り投資プログラムなど）、ボットネットマスター、無認可のオンライン薬局ウェブサイトの運営もユーザーに許可しています。これらの場合、BPHプロバイダー（「オフショアプロバイダー」と呼ばれる）は、ファイブアイズ諸国、特に米国と犯罪人引渡し条約または相互刑事援助条約（MLAT）を締結していない管轄区域で運営されています。^{[ 15 ] [ 16 ] [ 17 ]}しかし、ほとんどのBPHプロバイダーは児童ポルノやテロリズムに対してゼロトレランスポリシーを掲げていますが、パブリックインターネットを介したオープンアクセスを禁止した上で、そのような資料のコールドストレージを許可しているプロバイダーも少数あります。^{[ 18 ]}

BPHプロバイダーの法人設立やデータセンターの所在地として一般的な管轄区域としては、ロシア（より寛容）、^{[ 19 ]}ウクライナ、中国、モルドバ、ルーマニア、ブルガリア、ベリーズ、パナマ、セイシェルなどがある。^{[ 20 ] [ 21 ]}

BPHサービスは、サイバー犯罪やオンライン違法経済などの活動のためのネットワークインフラストラクチャプロバイダーとして機能し、^{[ 22 ]}サイバー犯罪経済の動作モデルは、ツール開発と仲間内でのスキル共有を中心に展開されています。 ^{[ 23 ]}ゼロデイ脆弱性などのエクスプロイトの開発は、非常に小規模な高度なスキルを持つアクターのコミュニティによって行われ、彼らはそれを便利なツールに組み込み、そのツールを低スキルのアクター（スクリプトキディと呼ばれる）が購入します。スクリプトキディはBPHプロバイダーを利用してサイバー攻撃を実行し、通常は目立たない単純なネットワークサービスや個人を標的としています。^{[ 24 ] [ 25 ]}カーネギーメロン大学が米国防総省のために作成したレポートによると、目立たないアマチュアのアクターも、特に中小企業、経験の浅いインターネットユーザー、小型サーバーに有害な結果をもたらす可能性があります。^{[ 26 ]}

犯罪者はまた、BPHプロバイダー上でポートスキャナと呼ばれる特殊なコンピュータプログラムを実行し、開いているポート、 その開いているポートで実行されているサービス、およびサービスデーモンのバージョンを検索して、脆弱性のあるバージョンを探します。^{[ 27 ]}ポートスキャナによってスキャンされるそのような注目すべき脆弱性の1つはHeartbleedで、何百万ものインターネットサーバーに影響を与えました。^{[ 28 ]}さらに、BPHクライアントはクリック詐欺、アドウェア（ DollarRevenueなど）、マネーロンダリング募集サイトもホストしており、これらは騙されやすいインターネットユーザーをハニートラップに誘い込み、個人に経済的損失を与えながら、裁判所命令や法執行機関による削除の試みにもかかわらず、違法サイトをオンラインに保ちます。^{[ 29 ]}

Spamhausプロジェクトは、サイバー脅威を監視し、スパム、フィッシング、サイバー犯罪活動に関与する悪意のあるAS、ネットブロック、レジストラに関するリアルタイムのブラックリストレポート（「Badness Index」として知られる）を提供する国際的な非営利団体です。Spamhausチームは、全米サイバーフォレンジック・トレーニング・アライアンス（NCFTA）や連邦捜査局（FBI）などの法執行機関と緊密に連携しており、Spamhausが収集したデータは、ISP、メールサービスプロバイダー、企業、教育機関、政府機関、軍事ネットワークのアップリンクゲートウェイなど、多くの機関で利用されています。 ^{[ 30 ] [ 31 ] [ 32 ]} Spamhausは、犯罪者のネットブロックをリストアップした様々なデータフィードを公開しており、ゲートウェイ、ファイアウォール、ルーティング機器がこれらのネットブロックから発信されるトラフィックをフィルタリング（または「ヌルルート」）するために使用できるように設計されています。 ^{[ 11 ]}

• Spamhaus Don't Route Or Peer List (DROP)には、犯罪者が使用する、確立された地域インターネットレジストリ(RIR) または国立インターネットレジストリ(NIR) によって割り当てられたネットブロックがリストされており、評判の良い AS のサブ割り当てられたネットブロックの悪用された IP アドレス空間は含まれていません。^{[ 33 ]}
• Spamhausドメインブロックリスト（DBL）は、評判の悪いドメイン名をDNSBL形式でリストします。^{[ 34 ]}
• Spamhausボットネットコントローラーリスト（BCL）は、ボットネットマスターの単一のIPv4アドレスをリストします。^{[ 35 ]}

以下に、廃止された BPH プロバイダーの一部を紹介します。

• サイバーバンカーは2019年9月に削除されました。^{[ 36 ]}
• McColo、2008年11月に削除されました。^{[ 37 ]}
• ロシアビジネスネットワーク（RBN）、2007年11月に閉鎖された。^{[ 38 ]}
• Atrivo、2008年9月に削除されました。^{[ 39 ]}
• 3FN、2009年6月にFTCによって削除された。^{[ 40 ] [ 41 ] [ 42 ]}
• Proxiez、2010年5月に削除された。^{[ 43 ]}
• LOLEKがホスト、2023年8月8日に削除。^{[ 44 ] [ 45 ] [ 46 ]}
• CrazyRDP、2025年11月12日に削除されました。^{[ 47 ] [ 48 ]}

• フリーダムホスティング
• 高速フラックス
• セキュリティシアター

• マッコイ、デイモン、ミ、シアンハン、ワン、シオフェン（2017年6月26日）「太陽の影の下で：正規サービスプロバイダネットワークにおける防弾ホスティングの理解と検知」2017 IEEE セキュリティとプライバシーシンポジウム（SP） .ニューヨーク大学. pp.  805– 823. doi : 10.1109/SP.2017.32 . ISBN 978-1-5090-5533-3. S2CID  1593958 .
• ハン、キャサリン、クマール、ザキル・デュルミック (2021). 「誤情報を支援するインフラプロバイダーについて」(PDF) .スタンフォード大学. 2021年8月25日時点のオリジナルよりアーカイブ(PDF) . 2021年12月4日閲覧.
• Konte, Maria; Feamster, Nick; Perdisci, Roberto (2015年8月17日). 「ASwatch: Bulletproof Hosting ASを検知するためのASレピュテーションシステム」 . ACM SIGCOMM Comput. Commun. Rev. 45 ( 4).ニューヨーク, アメリカ合衆国: 625– 638. doi : 10.1145/2829988.2787494 . ISSN  0146-4833 .
• Leporini, Dino (2015).インターネットを介した違法コンテンツストリーミングを支えるアーキテクチャとプロトコル.ピサ大学.アムステルダム（オランダ） :国際放送会議. p. 7. doi : 10.1049/ibc.2015.0013 . ISBN 978-1-78561-185-8。
• クレイトン、リチャード、ムーア、タイラー（2008年12月22日）「インセンティブが通知と削除に与える影響」『情報リスク管理とセキュリティの経済学』ボストン：シュプリンガー出版、pp.  199– 223. doi : 10.1007/978-0-387-09762-6_10 . ISBN 978-0-387-09761-9。
• ダニエル・コップ、エリック・シュトレーレ、オリバー・ホーフェルド（2021年11月）。「サイバーバンカー 2.0 - 堅牢なホスティングサービスにおけるドメインとトラフィックの観点」。2021 ACM SIGSAC コンピュータと通信セキュリティ会議議事録。ブランデンブルク工科大学計算機協会（ACM）、pp . 2432–  2434。arXiv : 2109.06858。doi : 10.1145 /3460120.3485352。ISBN 978-1-4503-8454-4. S2CID  237503582 .
• コリアー、ベンジャミン、ハッチングス、アリス（2021年4月15日）「サイバー犯罪は（しばしば）退屈：サイバー犯罪経済のインフラ維持」英国犯罪学ジャーナル61 (5)オックスフォード大学出版局doi : 10.1093 /bjc/azab026 . hdl : 20.500.11820/68a9a01b-f7c3-4fcb-9128-66caf04a4684 .
• ブラッドベリー、ダニー（2010年10月15日）. 「ハッキングのアンダーグラウンドを掘り起こす」 . Infosecurity . 7 (5): 14–17 . doi : 10.1016/S1754-4548(10)70084-X . ISSN  1754-4548 .
• Konte, M.; Feamster, N.; Jung, J. (2008年1月). 「SAC 025: Fast FluxホスティングとDNSに関するSSAC勧告」(PDF) .セキュリティ・安定性諮問委員会(1). Internet Corporation for Assigned Names and Numbers . 2021年11月22日時点のオリジナルよりアーカイブ(PDF) . 2021年12月12日閲覧.