INTERPOLが4.5万の悪性IP/サーバを無力化、72カ国連携で94人逮捕です。

今日の深掘りポイント

• 打撃の焦点は「攻撃の供給網」そのものです。IP・サーバの一斉無力化は、犯行の土台（ホスティング、C2、フィッシング配信基盤）に直接コストを上乗せします。
• 法執行の国際協調が可視化されました。攻撃者の“逃げ場”は狭まり、再編圧力が高まりますが、短期的にはクラウド・住宅系プロキシへの迂回が増えるとみます（仮説）です。
• 企業側は「むやみに全ブロック」ではなく、ネットワーク観測とレトロハントを主軸に“被害の痕跡”を見つけにいく設計が要点です。
• 攻撃面ではフィッシング、マルウェア配布、ランサムウェアC2の再構築が予想され、ドメイン回転・高速フラックス・リビングオフザランドへの依存が強まるシフトに備えるべきです（仮説）です。
• 今回の数値は「検挙」よりも「インフラ除去」の裾野の広さを示唆します。検知の窓は短いですが、運用に落とせば十分な検出利益を生みます。

はじめに

INTERPOLがフィッシング、マルウェア、ランサムウェアの配布・運用に関与した悪性IPアドレスとサーバ約45,000件を排除し、94人を逮捕、110人を追加調査中と発表しました。作戦には72カ国・地域が参加し、現場では212台の電子機器が押収されています。国別の例として、バングラデシュで40人逮捕・134台押収、トーゴで10人逮捕、マカオでは33,000超のフィッシング／詐欺サイトが特定されています。越境型サイバー犯罪の“足場”に手術を施した今回、何が変わり、企業は何をすべきかを掘り下げます。

参考として、公開報道に基づく二次情報は以下の通りです。

• The Hacker News: INTERPOL Dismantles 45,000 Malicious IPs, Arrests 94 Suspects in Global Operation

（編集注：一次ソースの詳細やIOC公開の有無は現時点で確認できていません。運用判断は自組織の脅威インテリジェンス・ガバナンスに沿ってください。）

深掘り詳細

事実関係（公表情報の整理）

• スコープ
  • 45,000の悪性IPアドレス／サーバを排除です。
  • 72カ国・地域が参加です。
• 執行結果
  • 94人逮捕、110人を追加調査中です。
  • 212台の電子機器・サーバを押収です。
• 地域的な注記
  • バングラデシュで40人逮捕・134台押収です。
  • トーゴで10人が逮捕です。
  • マカオで33,000超のフィッシング／詐欺サイトが特定です。
• 対象となった攻撃形態
  • フィッシング、マルウェア配布、ランサムウェア運用に関連したインフラが中心です。

数の輪郭だけでも、これは「侵入後の端末」より「攻撃インフラ層」に寄った取り締まりであることがわかります。212台押収に対し、排除対象IP/サーバは45,000規模です。物理差押えより、ホスティング事業者経由の停止、DNS・ネットワークレベルの無効化、またはシンクホール化など“遠隔の除去”が主体だったと読むのが自然です（仮説）です。

編集部インサイト：何が変わるか、どこが勝ち筋か

• 供給網への打撃は、攻撃者の“摩擦”を確実に増やします。具体的には、VPS/ホスティングの再調達、ドメイン再取得、C2再配線、メール送信基盤の再構築に時間とコストがのしかかります。RaaSや詐欺リングの“運用（Ops）”が目詰まりを起こし、短期的な配信量の低下が期待できます（仮説）です。
• 一方で、再編は速いです。反撃としては、以下の方向が強まると見ます（仮説）です。
  • 住宅系プロキシや侵害IoTを踏み台にした多層プロキシ化（NAT越しのエグレス）です。
  • クラウドの短命リソース（エフェメラルIP、サーバレス出力）活用で“回転速度”を上げるです。
  • DNSの動的化（高速フラックス、DGA）でブロックリストの陳腐化を早めるです。
• 防御側の勝ち筋は「IP単体の恒久ブロック」ではなく、「短期間の観測＋相関＋レトロスペクティブ」です。特に、今回のような大規模除去直後は“犯人が残した足跡”を逆算する好機です。数週間の攻撃再編期間に、過去90日〜180日の接続・メール・プロキシ・EDRログを横断し、C2接続痕やフィッシング導線を洗い出すことが、もっとも費用対効果が高いです。

脅威シナリオと影響

以下は公表情報を踏まえた仮説シナリオで、MITRE ATT&CKの観点からリスクと検知機会を整理します。

• シナリオA：フィッシング配信基盤の再構築と拡散の回復

  • 想定TTP
    • 資源調達（Resource Development）：T1583（インフラ調達：VPS/ドメイン）、T1584（インフラ侵害）、T1608（能力のステージング）です。
    • 初期アクセス：T1566.001/002/003（添付／リンク／サービス経由フィッシング）、T1204（ユーザ実行）です。
    • C2/回避：T1071（アプリ層プロトコル）、T1573（暗号化チャネル）、T1090（プロキシ）、T1568.001/002（動的解決：高速フラックス／DGA）です。
  • 影響/示唆
    • ドメインの短寿命化と送信元IPの高回転で、メールゲートウェイの単純なIPブロックが抜けやすくなります。URIコンポーネント、HTML/JSの再利用断片、TLSフィンガプリント、ホスティングASパターンの相関が効きます。

• シナリオB：ランサムウェア/RaaSのC2と配布の再配線

  • 想定TTP
    • 偵察と侵入：T1595（アクティブスキャン）、T1190（公開アプリ脆弱性悪用）、T1133（外部リモートサービス）です。
    • 横展開/実行：T1021（リモートサービス）、T1059（コマンド/スクリプト）、T1078（有効アカウントの悪用）です。
    • 影響：T1486（影響目的の暗号化）、T1490（復旧妨害）です。
  • 影響/示唆
    • 既存C2の喪失により、しばらくは“ノイズの多い”即席C2やクラウド出自のエグレスが増えます。NDRでのJA3/JA3S、SNI/JA4相関、C2ビーコン周期性の逸脱検知が捗るタイミングです。

• シナリオC：詐欺リングの決済・投資詐欺サイトの再ホスト

  • 想定TTP
    • リソース調達：T1583/T1584、フィッシングキット/スキャムキットの再配備（T1587：能力開発/入手）です。
    • 配信：SNS/メッセージングを用いた誘導（T1566.003：サービス経由）です。
  • 影響/示唆
    • マカオでの3.3万サイト特定という規模は、「枚挙（検出）」と「除去（無力化）」の差を意識すべきことを示します。ブランドなりすまし検知や誘導元（広告・SNS・メッセアプリ）での削除連携をCI（継続的改善）ループに組み込みたいです。

共通の副作用リスク（仮説）

• 正当サービスとIPアドレス空間の偶発的な重複により、過度なIPブロックが業務影響を招く恐れがあります。AS単位の一括遮断や広すぎるIPレンジ封鎖は避け、観測→相関→限定遮断の順序で運用するのが現実解です。

セキュリティ担当者のアクション

“今すぐできること”から“構造的な強化”まで、優先度順にまとめます。

• 0〜72時間

  • 今回の除去対象に関するIOC/ブロックリストが入手可能か、既存の脅威インテリジェンス経路（ISAC/TIP/ベンダーフィード）を確認です。入手できなければ、少なくとも自組織の直近90日フローから「海外VPS AS」「住宅型プロキシAS」への異常な外向き通信を抽出し、アラート化です。
  • メール面では、直近30日のフィッシング判定ログから“送信元IP回転の早いキャンペーン”を抽出し、URIハッシュ・HTMLテンプレ・証明書指紋など“IPに依存しない特徴量”を用いた検知ルールを追加です。
  • SIEM/NDR/EDRでのレトロハントを開始です。観点は以下です。
    • 不審SNI/JA3/JA3Sと短時間高頻度の外向き通信の組合せです。
    • DNSの短TTL、大量のA/AAAAローテーション（高速フラックス傾向）です。
    • HTTPヘッダの異常な共通性（X-Powered-By、Server、User-Agentのキット再利用痕）です。

• 1〜2週間

  • Eメール認証の堅牢化（SPF/DMARCの強化・隔離から拒否への移行計画、外部SaaS送信の許可リスト精緻化）です。
  • プロキシ/ファイアウォールでの“観測モード→段階的ブロック”運用に移行です。特にクラウド事業者のエフェメラルIPはアラート→確認→限定遮断のワークフローにします。
  • ランサム想定のテーブルトップ演習（初動連絡、復旧優先度、オフラインバックアップのリストア検証）を短サイクルで実施です。

• 30〜60日

  • ネットワークのエグレス制御を原則許可から原則拒否へ段階移行です。業務上必要な宛先FQDN/ASの許可リスト化と、未知宛先はプロキシ踏みを必須にします。
  • DGA/高速フラックス検知のシグナルをNDRに常設し、検知→封じ込め→インテリジェンス共有のSOPを文書化です。
  • 住宅型プロキシ・マル広告経由の誘導に備え、ブランド保護/なりすまし監視のプレイブックを整備し、削除申請のリードタイムを短縮です。

• 注意点（横ぐし）

  • IP単独の恒常ブロックは副作用が大きいです。IP＋ドメイン＋証明書＋AS＋JA3といった多因子相関で“遮断条件”を定義し、誤検知時のロールバック手順を先に用意します。
  • SOCは“除去直後の数週間”を集中監視期間に設定し、普段より広めのしきい値でアノマリ検知→アナリスト審査のパイプを太くするのが得策です。
  • 取引先・委託先の外向き監視の有無を確認し、最低限の可視化（プロキシログ共有、重大IOCの適用確認）をチェックリスト化します。

参考情報

• 二次情報（一次発表の要約）：The Hacker News: INTERPOL Dismantles 45,000 Malicious IPs, Arrests 94 Suspects in Global Operation

今回の動きは、捜査が「犯人を追う」だけでなく「攻撃の供給網を枯らす」段階へ成熟していることを示します。防御側も同じ視点で、IPという“点”ではなく、AS・証明書・テンプレート・振る舞いという“面と線”で捕まえる運用へ舵を切る好機です。静的なブロックリストの配布を待つのではなく、いま手元にあるログから過去の痕跡をあぶり出す——その一手が最大のリターンを生みます。今回の一斉除去で生まれた“静けさ”の間に、次の攻撃波への準備を整えておくべきタイミングです。