大規模ストリーミングインフラストラクチャ — オペレータ識別

要旨

複数のヨーロッパ市場に数千の違法チャンネルを配信する違法ストリーミング事業に関する調査において、完全にパッシブなOSINT技術のみを用いて調査が実施されました。27回の分析セッションにわたる多段階の調査を通じて、運営者の完全な特定、サーバーインフラストラクチャのマッピング、財務モデルの再構築、そして法執行機関が利用可能なドossierの作成が完了しました。

この調査は、単一のデータポイント—ストリーミングパネルのURL—から開始され、体系的なマルチソースインテリジェンスの相関分析を通じて、運営者の身元、自宅の所在地、家族関係、ISPとの関係、3カ国にまたがる5ノードのサーバーアーキテクチャ、および生涯収益が84,000～420,000ユーロに上ると推定される運営モデルが明らかにされました。

課題

ターゲットは複数のオブファスケーションレイヤーの裏に隠れていました。バルカプルホスティングプロバイダー、クラウドフラレの保護、ワイルドカードDNS、インフラストラクチャの役割の分離（エンコーディング、パネル管理、CDN配信、エッジ配布）などが挙げられます。運用者は一切登記された事業体を持っていませんでした—事業体の記録や、運用と名義で関連する税務登録が存在しませんでした。

目的は、被動的な手段のみを用いて以下の3つの質問に答えられることでした。誰がこのインフラストラクチャを運用していますか？どのように運用は技術的および財務的に構造化されていますか？どのような証拠が執行行動を裏付けるものがありますか？

調査フェーズ

調査スコアカード

インフラストラクチャインテリジェンス

5ノードのアーキテクチャは、パッシブDNS、証明書透過性、サービス指紋認証を通じてマッピングされました。

ノード1（原点/エンコーダ）： 家庭用ISP接続でエンコーディングハードウェア（NAS＋ハードウェアエンコーダ）をホストしています。運用者は自社の物理的な拠点からFTP、SMTP、RTSP、RTMP、VPNサービスを公開しています。OPSECが最も弱いノードです。

ノード2（パネル）： バルレットプルーフホスティングプロバイダーがストリーミングパネルソフトウェアを稼働しており、インターネットからMariaDBデータベースおよびRedisキャッシュポートにアクセス可能です（IPホワイトリスト設定済み）。

ノード3（CDN）： 同じバルレットプルーフホスティングプロバイダーがストリーム配信およびVODホスティングを処理しています。終了したウェブサーバーソフトウェアが稼働しており、既知のCVE脆弱性が存在します。

ノード4（エッジ）： 異なるホスティングプロバイダーに設置された欧州のエッジ配信ノードです。

ノード5（メール）： ドメイン通信を処理するクラウドメールリレーサーバーです。

結果

操作者識別、インフラストラクチャのトポロジー、財務分析、コンテンツインベントリ、権利保有者への影響評価を含む完全なインテリジェンスパッケージは、警察への報告に適した構造化された文書にまとめられました。文書は5か国以上の管轄域における適用可能な法的枠組みを特定し、データベースアクセス、取引記録、ISP加入者情報などの実行に法的権限を要する具体的な捜査手順を提案しました。

方法論に関する注記

27部構成の調査は、完全に受動的なOSINT技術を用いて実施されました。情報源には、公開APIの応答、DNSレコード、証明書透過性ログ、コードリポジトリの分析、SNSプロフィール、公開レジストリの検索、受動的サービスフィンガープリント、フォーラム投稿の分析が含まれます。一切システムへの未承認のアクセスは行わず、資格情報のテストは行わず、能動的な悪用も実施しておりません。