聞き慣れないが、確実に存在する脅威

「防弾ホスティング」という言葉を聞いたことがあるでしょうか?

この言葉自体は聞き慣れない方が多いかもしれません。しかし、現代のサイバー攻撃の仕組みを把握するにあたって、理解を深めておくことは重要だと言えます。

そもそもホスティングとは、ユーザーと契約し、サーバーやネットワークを借りるサービスです。そのサービスの提供者がホスティング事業者です。

そして、防弾ホスティングとは、サイバー攻撃者が攻撃のためのインフラとして利用されるホスティングサービスのことを称します。

サイバー攻撃を行う側にもインフラが必要です。例えば、フィッシング攻撃を行おうとするならば、大量のメールを効率的に送信したいと思いますし、メールの不正なリンクをクリックした際に表示を行うためのWebサーバーが必要です。

また、ボットネットのような攻撃者が利用するシステムは、C&Cサーバーと呼ばれる攻撃のための指令を行うサーバーと定期的に通信を行います。こういったサーバーも攻撃者が準備しておく必要があります。

あるいは、保持していること自体が不法行為となる、児童ポルノのようなコンテンツをサーバー上に格納する必要もあります。

このような攻撃者が用いるインフラを提供するのに協力的な態度をとるホスティングサービスが、防弾ホスティングです。

攻撃者にとって都合の良いサービスを提供

攻撃者は、安定したインフラを求めます。そのインフラが摘発などで閉鎖(テイクダウンとも呼ばれます)された場合には、急いで別なインフラを用意しなくてはならない場合、効率的な攻撃ができなくなります。

一般的なホスティング事業者は、当然のことながら、こういった利用は規約等で禁じていますし、もしそのような実態が判明すれば対応に動きます。

例えば、捜査機関に対してログを提供したり、不正利用者のアカウントに対して厳重な注意喚起を行なったり、それでも行為が継続される場合は停止するなどといった対処をとります。

しかし、防弾ホスティングの提供者は、このような対処を行うことに非協力的です。

建前上は、言論や表現の自由を守るため、といったお題目を唱えますが、その実態は攻撃者から利用料金をとることで経営を成り立たせています。

例えば、不正行為の立証に必要なログをそもそも取得していなかったり、アダルトコンテンツなどの保存が合法あるいはグレーゾーンである国にサーバーなどのインフラを整備しています。 

また、捜査機関の捜査に対しても、非協力的な態度をとります。先程の建前や法的にグレーゾーンであることを理由に、のらりくらりとかわしたり、時間を稼いだりします。

あるいは、そもそも利用者であるサイバー攻撃者が契約を行う際の本人確認が非常に緩かったり、決済に仮想通貨を利用するなどして、事実上利用者を追求することを不可能にします。

つまり、間接的にサイバー攻撃者を利しているのが防弾ホスティングの事業者ということになります。

防弾ホスティングへの対策は?

このような防弾ホスティング事業者に、いったいどうやって対策を行えば良いでしょうか?

これは一般の組織に所属している人たちには難しいのが実状です。

まず必要なのが法整備です。このような事業者には断固たる態度をとる必要がありますが、それには法的な後ろ盾が欠かせません。

しかし、そういった対応には得てして時間がかかりますし、国によっては、外貨を獲得することなどを目的として、許容する動きを見せることも多くなっています。

そのため、現実としてはここに期待することは難しいケースが多いです。

捜査機関の国際協力などによって、摘発に至ることのできる例もありますが、国家レベルでこういった事業者を保護、あるいは見逃しを行うと、できる対応は限られてきます。

組織のセキュリティ担当者にできることは、脅威インテリジェンス情報を収集して、防弾ホスティングに利用されているIPアドレスを確認し、遮断するといったことが関の山でしょう。

場合によっては、セキュリティ事業者や、善意の団体によって提供されるブラックリストが提供される場合もあります。うまく活用することが求められるでしょう。

具体的には、旧ソ連圏、ウクライナ、オランダ、スイス、スウェーデン、ドイツ、ロシア、チェコ、ブルガリア、セーシェル、リベリア、パナマ、セントクリストファー・ネービス、香港、マレーシアなどといった国々を事業者が利用することが散見されます。

次世代ファイアウォールなどのようなセキュリティソリューションでは、通信を行っているIPアドレスを、国旗のアイコンなどで可視化し、判別しやすくなっていることが多いです。

もし、このような国々からの通信がある場合は、このような防弾ホスティング事業者の関与も疑ってみるべきでしょう。

こういった攻撃者と利害関係にある狡猾な事業者への対応は時間を要します。

こういった悪意のある事業者が存在し、サイバー攻撃のエコシステムの構築に加担しているという事実を知ることが、長きにわたる対策への一歩目となりますので、ぜひこういった実態を正しく把握して、情報収集に努めましょう。

インシデント 一般