オランダ、サイバー攻撃支援容疑でサーバー800台を押収し2人を逮捕
(krebsonsecurity.com)- オランダ当局は、ロシアによるEU域内でのサイバー攻撃・影響工作・偽情報キャンペーンに使われたITインフラを運営した疑いで、ホスティング企業の共同所有者2人を逮捕した
- FIODは5月18日、アムステルダムの57歳の男性とハーグの39歳の男性を逮捕し、事業所とデータセンターの捜索で800台超のサーバーと機器を押収した
- 捜査は、ロシアの侵攻直前に登場した Stark Industries に集中しており、このインフラは欧州を標的にしたDDoS攻撃や、ロシア支援のハッキンググループに関連するプロキシ・匿名化サービスで繰り返し確認されている
- EU制裁の直前、Starkの資産はPQHostingから the[.]hosting へ移され、この法人はWorkTitans BVの下で MIRhosting を通じてのみインターネット接続を受けていたことが判明した
- MIRhostingとAndrey Nesterenkoは、制裁回避や違法活動の支援を否定したが、WorkTitans向けサービスを一時停止し、デンマーク選挙に関連する内部調査を開始した
オランダでの逮捕とサーバー押収
- オランダの金融犯罪捜査機関 FIOD は5月18日、アムステルダムの57歳の男性とハーグの39歳の男性を逮捕したと、オランダの日刊紙 de Volkskrant が報道した
- 2人は、EU制裁対象に対して直接または間接的に経済的資源を提供し、制裁法に違反した疑いが持たれている
- 捜査当局はEnschedeとAlmereの事業所3カ所、DrontenとSchiphol-Rijkのデータセンター2カ所を捜索し、ノートPC・電話機・800台超のサーバーを押収したと、オランダ当局が発表した
- the[.]hostingの顧客に送られたメッセージでは、押収直後にサーバーに保存されていたデータが失われ、復旧できないと案内された
Stark Industriesと制裁回避疑惑
- オランダの捜査は、ロシアによるウクライナ侵攻の2週間前に登場した大手ホスティング事業者 Stark Industries に焦点を当てている
- Starkは、欧州の標的を狙った大規模な DDoS攻撃 の発信元となり、ロシア支援のハッキンググループと結びついた攻撃で繰り返し現れるプロキシ・匿名化サービスの主要供給元として台頭したと、2024年5月の詳細分析で取り上げられている
- その分析では、モルドバ人の兄弟 Ivan Neculiti と Yuri Neculiti、および彼らの企業 PQHosting が、Starkの主要なインターネット接続経路2本のうち1本を提供していたと特定された
- EUは2025年5月、ロシアのハイブリッド戦遂行を支援した疑いで PQHosting とNeculiti兄弟を制裁対象に指定した
- しかし、2025年9月の報道時点では、制裁はStarkに残された接続経路であるオランダ拠点のISP MIRhosting を対象にできていなかった
- PQHostingとNeculiti兄弟に対するEU制裁の発表のおよそ2週間前、関連情報が報道機関に漏れ、その間にStarkのネットワーク資産はPQHostingから新法人 the[.]hosting へ移された
- the[.]hosting はオランダ法人 WorkTitans BV の管理下にあり、WorkTitansは Andrey Nesterenko と Youssef Zinad が支配していたと、2025年9月の報道で示された
- WorkTitansは、より大きなインターネットへの接続を MIRhosting を通じてのみ受けており、Zinadは以前MIRhostingで働いていた
デンマーク選挙期間中の攻撃とMIRhostingの反論
- de Volkskrant は、2025年11月13日から19日までのデンマーク地方選挙の週にデンマーク政府機関を標的とした親ロシア攻撃で、WorkTitans と MIRhosting が最も多く使われたネットワークだったことを示すデータを確認した
- Nesterenkoは、逮捕前、自身のサーバーが親ロシアのサイバー犯罪者に悪用されていたことは知らなかったと否定した
- Nesterenkoは、2025年5月にEU制裁が発効した際、Neculiti兄弟とのすべてのサービスを終了しており、「有害で不正確な報道」に対してあらゆる権利を行使し得ると述べた
- MIRhostingは、デンマーク選挙に関する疑惑について内部調査を開始し、追加確認の間の予防措置としてWorkTitans向けサービスを一時停止したと声明で発表した
- MIRhostingは、予備調査の結果、自社が管理するサービスがデンマーク選挙に影響を与えるために実際に使われた兆候はなかったと述べた
- 当該期間のネットワークトラフィックに異常や急増は観測されず、大規模なDDoS攻撃があったならそのような活動は表れていたはずだとMIRhostingは主張した
- MIRhostingは、報道が出るまで不審な活動やネットワーク悪用に関する苦情、abuse report、公式要請を受けたことはなく、他の顧客向けサービスは引き続き通常どおり稼働していると述べた
Andrey NesterenkoとMIRhostingの経歴
- Andrey Nesterenko は2004年、MIRhostingの親会社 Innovation IT Solutions Corp. を設立した
- Innovation IT Solutions Corp.は、2008年にロシア軍がジョージアへ侵攻した時期に登場したハクティビズム系サイト stopgeorgia[.]ru をホスティングした企業として言及されている
- stopgeorgia[.]ru はジョージアに対するサイバー攻撃を組織するウェブサイトであり、この衝突は、顕著なサイバー攻撃と実際の軍事交戦が同時に起きた最初の戦争とみなされたと紹介されている
- Nesterenkoはメールでの回答で、MIRhostingはサイバー犯罪、制裁回避、違法活動を支援しておらず、オランダ当局の容疑と逮捕は自分と会社にとって極めて有害だと述べた
- Nesterenkoは、the[.]hostingへの移行は制裁回避を目的としたものではなく、ハードウェアと顧客ポートフォリオは制裁が持ち上がる前にすでにWorkTitansへ移されていたと主張した
- Nesterenkoは、合法的なオランダのインフラ企業を閉鎖または毀損してもサイバー犯罪は止められず、何の落ち度もない多くの人々に被害を与えるだけだと述べた
Youssef Zinadの役割
- Youssef Zinad について公になっている情報ははるかに少なく、2025年の報道以降は低いプロフィールを保ってきたと伝えられている
- Nesterenkoは、ZinadはMIRhostingの従業員ではなく、企業間の通常の B2B契約 の下で特定のビジネス業務において自分とMIRhostingを支援していたと主張した
- しかし、以前KrebsOnSecurityに送ったメールでNesterenkoは、@mirhosting.com のメールアドレスを持つZinadを参照先に入れ、彼が同社法務チームの一員だと説明していた
- オランダのウェブサイト stagemarkt[.]nl は、Youssef ZinadをMIRhostingのAlmereオフィスの公式連絡先として掲載している
- de Volkskrant は、ZinadがLinkedInアカウントへのアクセスを遮断し、メール・WhatsApp・電話に数カ月にわたって応答せず、その後アムステルダムのある住宅で逮捕されたと報じた
1件のコメント
Hacker Newsのコメント
こうした業者は 合法的なホスティング会社 と見なすべきではない、という点を押さえる必要がある。KYCをしない海外サーバー程度の話ではなく、ロシア情報機関の人間が所有するロシア情報機関のフロント企業に近く、ほかの事業は行っておらず、一般人が望んでもホスティングは提供していないと考えている
ドイツでは、誰かがメールサービスプロバイダー(pissmail)に登録してスパムを送ったせいで、そのプロバイダーが刑務所に入ることになり、その余波で自分はいくつものソーシャルメディアのアカウントを失ったことがある
要求事項はそれほど多くなかったが、トレントですら利用者を片っ端から締め出していたので、意味のあるレベルの防弾ホスティングではなかった。怪しいことに関わっていた可能性は高く、IPの品質もひどかったが、通常のサービスも提供はしていた
セキュリティの仕事ではずっと 防御側の立場 にいた
一部の市場では犯罪のほうがまともな仕事より儲かることは分かっているが、サイバー犯罪者向けのインフラITサービスを提供するのに、あれほど多くの思考、努力、計画、エンジニアリングが注ぎ込まれている事実にはいつも驚かされる。関わっている人たちは合法的な仕事でも十分に稼げる能力があるのに、犯罪者を支援する道を選ぶのがよく分からない
自分の理解では、彼は法をかいくぐり、自分が愚かだと見なした人たちを搾取し、その過程で金を稼ぐことに 優越感のスリル を感じていたようだ
振り返れば、本当にばかげたミスで捕まった。自分の知的優位と他人の愚かさを信じすぎたあまり、結局は誰にも自分を捕まえられないと思い込むようになっていたのだろう
アメリカは技術職の給与が高い特殊な市場で、こうした純粋な運用業務はその高給の中でも低いほうに属する。平均的なシステム管理者の年収がはるかに低い国、たとえば東欧なら、およそ 年3万〜3万5千ドル 程度なので、サイバー犯罪のほうが魅力的に見える理由も理解できなくはない
よくある「ゼロトラストだと言いながら、管理プレーン全体がAzure管理だから仕方ない」といった例外もない環境だ
むしろ、複数のサイバー犯罪組織が自分たちを受け入れてくれるホスティングを見つけられず、まず自前の バックエンドITインフラ を整えるという骨の折れる作業を行い、その後すでに構築したインフラを土台にいくつかの方向へ進んでいく、と見るほうが正しい
第一に、自分たちのニーズが「聞かないし話さない」ホスティングに対する、より一般的な未充足需要を示していると気づき、副業としてホスティングを始める
第二に、ASN登録のような場面で、でっち上げたホスティング会社という偽装をもっともらしく見せるほど防御の盾になると考え、実際の顧客もコントロールプレーンもないホスティングサイトの外観だけを雑に貼り付ける
第三に、ASNから合法的なトラフィックを出す実在の顧客がいればより正当なものに見え、他のASNが丸ごとブロックするのをためらうと判断して、どこかのみすぼらしい1台のサーバー上に、ありふれたVPSプロバイダー並みの設備を実際に構築する。たいていはOpenStackではなく、サイバー犯罪マーケットで買った古く粗悪なターンキーIaaS機材である可能性が高い
第四に、これが最も一般的な経路に見えるが、サイバー犯罪者の仲間と話しているうちに、彼らから「自分たちで何か作ったなら、うちもホスティングしてくれ」と頼まれ、徐々に事実上のホスティング部門へと進化していく。口コミで入ってくるこうしたハイタッチな顧客をさらに受け入れていくと、手動設定が負担になり、結局は自動化を始めることになる
ホームラボを学びながら pfSense を設定したとき、自宅回線のIPに向かってくるスキャンや攻撃の発信地域を見ることができた。オランダはロシアや中国と同じくらい多くて驚き、すべて地域ブロックした
なぜオランダが彼らにとってそこまで魅力的なのか気になる
悪名高いデータセンターが気になるなら CyberBunker を見るといい。コンセプトとして興味深いし、これもオランダにある
https://en.wikipedia.org/wiki/CyberBunker
「制裁がStarkの残るインターネット接続、すなわちオランダ拠点のインターネットサービスプロバイダー MIRhosting を標的にしていなかった」というくだりにはあきれる。mirhostingの事務所の前を毎日通っている
攻撃を実行するよう金を払った連中の名前も公表して起訴してほしい