ハクソク

世界を動かす技術を、日本語で。

オランダ、サイバー攻撃を助けたとして800台のサーバーを押収し、2人を逮捕

13時間前原文(krebsonsecurity.com)

概要

  • オランダ当局が、ロシアによるEU内サイバー攻撃に関与したホスティング企業の共同経営者2名を逮捕
  • 逮捕されたのはMIRhostingとWorkTitans BVの経営者で、EU制裁違反の疑い
  • 800台以上のサーバー押収、複数拠点捜索
  • 主要な攻撃インフラとしてStark Industries Solutionsおよび関連ネットワークが浮上
  • MIRhostingは関与を否定し、内部調査を進行中

オランダで露サイバー攻撃インフラ運営者2名逮捕

  • オランダ当局が2025年5月18日、 MIRhostingWorkTitans BV の共同経営者である Andrey Nesterenko (39歳、ロシア出身)と Youssef Zinad (57歳、アムステルダム在住)を逮捕
  • 逮捕理由は、 EU制裁対象組織への経済資源提供 による制裁法違反
  • 逮捕時に Enschede および Almere の3事業所、 DrontenSchiphol-Rijk の2データセンターを捜索
  • ノートパソコン、携帯電話、800台以上のサーバー を押収
  • これにより、the-hosting利用顧客のデータが回復不能となった旨の通知

事件の背景と関係者

  • 対象となった Stark Industries Solutions は、ロシアのウクライナ侵攻直前に設立されたホスティング事業者
  • Starkは、EU内での大規模 DDoS攻撃匿名化サービス 提供の拠点として利用
  • 主要なネットワーク接続元は PQHosting (モルドバのNeculiti兄弟経営)と MIRhosting
    • PQHostingとNeculiti兄弟は2025年5月にEU制裁対象となる
    • 制裁情報が事前に漏洩し、Starkの資産はWorkTitans BVに移管
  • WorkTitans BVは NesterenkoZinad が支配、MIRhosting経由でインターネット接続
  • 2025年11月、デンマーク地方選挙週に WorkTitansMIRhosting が親ロシア攻撃で最も多用されたネットワークと判明

MIRhostingおよび関係者の主張

  • MIRhosting は「自社インフラがサイバー攻撃に利用された証拠はない」と声明
  • デンマーク選挙期間中、ネットワーク異常やDDoSの兆候なしと主張
  • Nesterenko は「制裁逃れ目的の移転ではない」「正当な事業運営が妨害されている」と反論
  • Zinadについては「正式な従業員ではなく、ビジネス間取引のみ」と説明
    • しかし、過去のメールや公式ウェブサイトではMIRhostingの法務担当として記載

Zinadの動向と報道

  • Zinadは2024年以降、 LinkedIn やメール、電話等の連絡を遮断し、消息不明状態
  • 2025年10月時点で自動応答のみ、連絡を拒否
  • 2025年4月、Almereの登録住所にも不在、近隣住民も所在不明と証言
  • 最終的にアムステルダムの住居で逮捕

MIRhosting創業者Nesterenkoの経歴

  • ロシア・ニジニ・ノヴゴロド出身、幼少よりピアノの神童として活躍
  • 2004年、 Innovation IT Solutions Corp. (MIRhosting親会社)設立
    • 2008年、ロシア・ジョージア戦争時に stopgeorgia[.]ru をホスティング
  • サイバー犯罪・制裁回避への関与を否定、「正当なインフラ企業への打撃は無関係の利用者に害」と主張

まとめ

  • オランダ当局はEU制裁違反によるロシア関連サイバー攻撃インフラの摘発を強化
  • 主要関係者は容疑を否定しつつも、実態解明と責任追及が進行中
  • サイバー攻撃の国際的なインフラ摘発事例として、今後の動向に注目

Hackerたちの意見

スターク・インダストリーズのジャービス、オランダのサーバーの状況はどうなってる?

攻撃を依頼した人たちの名前を公表したり、訴えたりしてくれるといいんだけどね。

法執行機関は通常、進行中の捜査については話さないよ。

FSB?それに対して何ができるの?ロシアはオランダの市民が乗った航空機を撃墜したけど、何の影響もなかったし。

自分はキャリアのほとんどをセキュリティの防御側で過ごしてきた。確かに、いくつかの市場では犯罪が正当な仕事よりも報酬が高いこともあるけど、サイバー犯罪者のためにインフラITサービスを提供するのにどれだけの思考や努力、計画、技術が使われているかにはいつも驚かされる。関わっている人たちは、正当な仕事で利益を上げるスキルを持っているはずなのに、なぜ犯罪者を支援する道を選ぶのかが不思議でならない。

関わっている人たちは、正当な仕事で利益を上げるスキルを持っているはずなのに、なぜ犯罪者を支援する道を選ぶのかが不思議でならない。正当な仕事に戻るのはそんなに簡単じゃないと思う。今の時代、テック系の仕事を持つこと自体が贅沢だし。

サイバー犯罪に関わり始めてから、素晴らしい仕事やキャリア、家族を持っていた人がどんどん堕ちていって、最終的には刑務所に入るのを見てきた。彼の行動を理解しようとすると、他人よりも優位に立っている感覚を楽しんでいたように思える。法律を逃れたり、愚かだと思っている人たちを利用したりして、自分を豊かにすることに快感を覚えていたんだろう。結局、彼は本当にバカなミスで捕まった。自分の知的優位性と他人の愚かさを信じすぎて、誰かに捕まるなんて想像もしていなかったんだと思う。

サイバーセキュリティはいつも予算の最下位に置かれる。サイバーセキュリティの仕事でお金を稼ぐのは簡単じゃない。唯一の利点は、犯罪者が(法律によって)最終的に企業にもっと投資させることになるってことかな。

正業に就くのは簡単じゃないよね。特に今の雇用市場だと、住んでる場所によっても違うし。アメリカはテクノロジー関連の仕事の給料が高いけど(その中でも純粋なオペレーション業務は低めだけど)。もし平均的なシステム管理者の給料がかなり低い国にいるなら(例えば東欧だと年収約3万〜3万5千ドル相当)、サイバー犯罪に走りたくなる理由がわかるよね。

生まれつきそういう環境にいる人もいるよね。マフィアの家族とか。アメリカのマフィアには、非常に頭の良い人たちがいて、すごく利益の出る詐欺をやってた。でも結局捕まるんだよね。今の電子監視の普及を考えると、当局が気にしている場所ではもう無理だよ。

サイバーセキュリティが「株主価値」やその他の意味不明なことよりも優先される組織で働くことを想像してみて。1) サイバーセキュリティが最優先、2) 他のすべてのエンティティが悪意を持っていると仮定してシステムを設計する、3) 予算が実質的に無制限、4) 民間企業よりも数倍の給料がもらえる。

前の人生では、犯罪サイトを運営するために契約者やソフトウェアエンジニアを雇ってた。彼らの動機は、報酬が良くて、執行機関を避けるために技術的に挑戦的な仕事だったから。そういう意味で「楽しかった」し、彼らは「権力に立ち向かっている」って感じだった(私のサービスはユーザーや他の人たちから道徳的に見られてた)。最後に、仕事があまりなかったから選り好みできなかったし、私は良い雇い主だったから、そうする必要があったんだ!

彼らは利益を上げられないからね。雇用市場は両端で同じじゃないし。東欧の人が国際企業で仕事を探すと、地域の平均に合わせた給与が提示されることが多いよ。再配置を考えない限りね。スタートアップやFAANGみたいな企業は、たまに西側の水準に合わせた報酬を出すけど、他の人たちが言ってたように、やること自体にスリルがあるんだ。

ここでのコメントの一つを使うなら、政府の指示でやったってことになるから、正当な政府の攻撃チームみたいなもんだね。ほとんどのことがそうやってグレーに塗り替えられるし、自分の主張を支持してくれる人を見つけるだけでいいんだ。

これを「サイバー犯罪者にインフラITサービスを提供する」と考えるのはあまりお勧めしないよ。これらの人たちが主にIT関係の人間で、主にインフラを運営してるわけじゃないからね。むしろ、彼らの努力を、サイバー犯罪グループが自分たちのためにバックエンドITインフラを構築するために苦労していると考えた方がいいと思う(誰かにホスティングしてもらえなかったから)。そして、構築したインフラを持って、1. 自分たちのニーズが「聞かれず、言わず」のホスティングに対する一般的な未充足市場の需要を象徴していることに気づき、ホスティングを副業として展開する; 2. ASN登録時に作ったホスティング会社のふりをして、リアルにするほど自分たちを守ることになると考え、実際の顧客がいないホスティングサイトの外観を作り上げる; 3. 実際の顧客がいて、彼らのASNからの正当なトラフィックがあることで、さらに正当化される(他のASNも一括でブロックするのをためらうようになる)ため、どこかの悲しいサーバーで普通のVPSプロバイダーの施設を立ち上げる — おそらくサイバー犯罪マーケットで買った古いIaaSアプライアンスを動かしている; 4. それとも(これが最も一般的なルートだと思う)、サイバー犯罪者の友人たちと話していて、彼らが実際に何かを構築したことに気づいた友人たちがホスティングを頼んできて、それが徐々にビジネスのデファクトホスティング部門に進化していく(「ハイタッチ」な口コミ顧客を受け入れるにつれて、システムを手動で設定するのが負担になり始め、自動化を始める)。

その制裁は、スタークの残りのインターネット接続、オランダにあるインターネットサービスプロバイダーのMIRhostingを狙うことに失敗した。マジか、毎日MIRhostingのオフィスの前を通ってるのに。

コーヒーまだ飲んでないからかもしれないけど、脳が「ネアンデルタール人が800台のサーバーを押収」って読んだ気がする。

悪名高いデータセンターに興味がある人は、サイバーバンカーを見てみてね。[1] 概念的には面白いと思うし、オランダにもあるよ。[1] https://en.wikipedia.org/wiki/CyberBunker

これらは全然正当なホスティング会社じゃないから、非KYCのオフショアサーバーについて心配しないでね。彼らは少ししか求めないホスティング会社じゃなくて、ロシアの情報機関のフロント企業で、ロシアの情報機関のメンバーが所有してる。一般の人にホスティングサービスを提供することもないし(私も試したけど)、ドイツではメールサービスプロバイダー(pissmail)が逮捕されて、いくつかのソーシャルメディアアカウントを失ったことがある。

あなたの主張を裏付けるソースはあるの?なければ、ただの陰謀論に聞こえるけど。

これは完全に嘘だよ。この会社から「普通の人」としてホスティングを借りることができるんだから。記事には、英語での顧客向けコミュニケーションの写真が載ってるし。

一般の人にはホスティングサービスを提供してくれないみたいだね、たとえ希望しても(私も試したことがある)。それはちょっとおかしいんじゃない?私は一度PQ.Hostingを使ったことがあるけど、急な一時的なVPSが必要だったからなんだ。他の正当なユーザーと同じようにね。確かに、あまり多くを求められなかったけど、トレントをやってるだけでユーザーをバンしまくってたから、あんまり信頼できるサービスではなかったよ。彼らは怪しいことに関わってたと思うけど、IPの質は最悪だったし、でも正当なサービスも提供してたんだよね。

ホームラボのことを学んでpfSenseを設定してた時、家のインターネットでのスキャンや攻撃の地理情報が見えたんだ。オランダがロシアや中国と同じくらいの量で上がってきてて驚いたよ。みんなジオブロックされてたけど、オランダって何がそんなに魅力的なんだろう?

高帯域幅と(比較的)低い有罪判決が理由かな。

「ネアンデルタール人が800台のサーバーを押収…」って読んだのは俺だけ?その記事を読んでみたかったな。