- ベネズエラの停電事態と同時に、CANTV(AS8048) を中心とした BGPルーティング異常 が観測された
- Cloudflare Radar のデータによると、1月2日に CANTV の経路を含む8つのIPプレフィックスが 異常なASパス を通じてルーティングされた
- この経路には Sparkle(イタリア) と GlobeNet(コロンビア) が含まれており、Sparkle は RPKIフィルタリングを適用していない「安全でない」事業者 に分類される
bgpdump の分析結果では、ASパスに CANTV の番号(8048)が 10回繰り返し 現れ、一般的な経路選択ルールに合わない形を示しており、該当IP帯域は カラカスの Dayco Telecom の所有と確認された- このような BGP経路リークと停電、爆発、米軍進入の時点が近接 しており、ネットワークレベルの異常活動があったことが明確に示されている
ベネズエラ停電とBGP異常
- ベネズエラの停電事態の中で、CANTV(AS8048) を中心とした BGP経路リーク(route leak) が発生
- Cloudflare Radar のデータでは、8つのIPプレフィックスが CANTV を経由する異常経路でルーティングされた
- 経路には Sparkle(イタリア) と GlobeNet(コロンビア) が含まれていた
- Cloudflare Radar は1月2日に BGPアナウンス(announcement)の急増 と グローバルIPアドレス空間の減少 を記録
- Sparkle は isbgpsafeyet.com で「安全でない」事業者に分類されており、RPKIフィルタリング未適用 であることが確認されている
BGPデータ分析
ris.ripe.net の公開データと bgpdump ツールを用いて、Cloudflare が表示しなかった 欠落したプレフィックス を抽出
- 分析結果では、ASパスに CANTV(8048) が10回繰り返されていた
- BGP は短い経路を好むため、このような繰り返しは 異常な経路構成 を意味する
- 8つのプレフィックスはすべて
200.74.224.0/20 ブロック内に含まれる
- WHOIS の照会結果では、Dayco Telecom(カラカス所在) の所有と確認された
- 逆引きDNSの照会結果では、該当IP範囲には 銀行、インターネットプロバイダー、メールサーバーなどの中核インフラ が含まれていた
事件タイムライン
- 1月2日 15:40 UTC: BGP経路リークを検知 (Cloudflare Radar)
- 1月3日 06:00ごろ: カラカスで爆発が報告 (NPR)
- 1月3日 06:00: 米軍がマドゥロ官邸に到着 (NBC News)
- 1月3日 08:29: マドゥロ、USS Iwo Jima に搭乗 (CNN)
- この時間帯に BGPトラフィックが第三の経由地へ迂回 した状況があり、この経路を制御していた場合 情報収集の可能性 が存在する
分析と観察
- CANTV AS8048 が経路に10回挿入されたことは、トラフィック優先順位を下げる効果 を引き起こす
- 意図的かどうかは不明だが、異常な経路操作(shenanigans) があったことは明らか
- 公開データだけでも、当時の ネットワーク異常活動 をさらに分析する価値がある
- この記事は 政治的解釈を排し、純粋に 攻撃的セキュリティ観点での技術的異常現象 を扱っている
その他のセキュリティ関連リンク集
- MCP Security: 悪性のMCPサーバーがAIプロンプトと環境変数を窃取できることを実演
- The Year in LLMs (2025) : 推論モデル、コーディングエージェント、中国のオープンウェイトモデル、MCP採用などを要約
- Linux is Good Now: 2026年を Linux デスクトップの年と見る議論
- No strcpy Either: curl プロジェクトが
strcpy() を削除し、バッファサイズ明示ラッパーを導入
- Kubernetes Networking Best Practices: CNI選択、ネットワークポリシー、サービスメッシュ、トラブルシューティングガイド
1件のコメント
Hacker News のコメント
BGPトラフィックがAからBへ向かう際にCを経由するようルーティング操作することは可能
C地点を制御すれば情報収集は可能だが、今回のCANTV(AS8048)のケースは単なるASパス・プリペンディングに見える
これはトラフィックを減らすための一般的なトラフィックエンジニアリング手法で、過去にもよく使われてきたパターン
今回はTelecom Italia Sparkle(AS6762)の経路がGlobeNet Cabos Sumarinos Columbia(AS52320)へ伝播したようで、単純な設定ミスの可能性が高い
Dayco Telecom(AS21980)への経路ハイジャックの痕跡はなく、むしろプリペンディングによってCANTVを経由する可能性は低くなっていた
記事で興味深かった点は、1.1.1.1へのDNSクエリのうち7%がHTTPSタイプだったこと
これはTLS 1.3の**ECH(Encrypted Client Hello)**実装に関連しており、DNSがサーバーの公開鍵をホストしてHTTPSリクエストのサーバー名を完全に暗号化する
まだNginxなど主要なWebサーバーがこれをサポートしていないため、この7%の大半はCloudflare自身のトラフィックである可能性が高い
関連データはCloudflare Radarで確認できる
接続が遅ければHTTP1/2に自動フォールバックする
例: https://dns.cloudflare.com/dns-query
まだ直接テストはしていない
核兵器保有国はこうした拉致作戦の対象から除外されるのではないかと思う
こうした事件はむしろ核拡散への圧力を高めそうだ
以前はやりすぎだと見ていたが、今ではこちらが道化のような役回りをしているようなものだ
米国の斬首作戦のような軍事行動とは次元が違う
運搬手段と防御力が重要であり、指導者拉致のような事件が核報復につながる可能性は低い
核を「試みる」こと自体が危険な計算だからだ
たとえばイランのミサイル攻撃は、その大半が迎撃されることを前提としている
ベネズエラが核を持っていたとしても、今回の件は依然として起きていただろう
今回の件は悪意あるものというより、CANTV(AS8048)が52320へプリペンドしたアナウンスを送ったように見える
むしろMDS(269832)の上位ピア接続の問題によって、こうした経路がより目立つようになったようだ
今回の件を見ると、米国技術への依存を完全に避けることはできないと感じる
「米国技術にもっと深く乗るべきだ」という言葉が皮肉に聞こえる
ベネズエラは制裁のため、むしろ中国技術をより多く使っている可能性が高い
ただし地政学的な敵国の技術に依存するのは危険だという点には同意する
これ以上依存度を高める余地はほとんどない
自国の能力がなければ結局は他国の技術を使うしかない
米国を排除して得られるのは「米国抜きのインフラ」だけで、経済的価値は似たようなものだ
ベネズエラのような国は結局、別の大国の技術的従属に置き換わるだけだ
技術地政学とは結局、"パンが多いほど他人のクソを食わずに済む"という現実なのだ
OSRS(Old School RuneScape)経済が今回の攻撃の影響を受けたのか気になる
インターネットが完全に切断されたわけではなさそうだ
クリスマスや新年にも似たBGP異常があったのか気になる
長さ15のASパスがインターネット上に現れるには、それより良い経路がすべて消えていなければならない
今回もそうした現象があったが、これはCANTVとは無関係に見える
BGP経路が撤回処理の不具合によって「捕まる」ことがあり、こうした状況では長い経路が現れうる
結論は明確ではないが、今回の調査と分析は非常に興味深かった
誰かがさらに多くのつながりを見つけるかもしれない
この件の結果、トラフィックがSparkleを経由して傍受可能になっていたのではないかと思う
ただネットワーク構造をよく知らないので正確には分からない
これは危機時に重要な代替通信手段の遮断として機能しうる
Telecom Italia Sparkleが特に言及された理由は不明だ