DDoS防御企業、自社が担当するはずの攻撃の実行犯だった疑惑

ブラジルで頻発する大規模DDoS攻撃。その黒幕は、遠く離れた場所から混乱を撒き散らす、影のような外国の脅威アクターだろうと、誰もがそう思っていた。我々がそうあるべきだと教えられてきた物語だ――外部の人間、暗闇に座るハッカー。だが、今回の衝撃的な暴露は、その脚本を完全にひっくり返す。

ブラジル国内のインターネットサービスプロバイダー（ISP）を標的としたこれらの攻撃。その首謀者として名乗り出たのは、なんと、それらの攻撃から守る盾であると主張する企業、Huge Networksなのだ。

これは単なるデータ侵害ではない。これは、建築的な逆転劇だ。強固なネットワーク防御という理念のもとに設立された企業が、KrebsOnSecurityによる詳細な調査によれば、自身が防ぐために報酬を得ているはずの攻撃インフラを、まさしく提供していたというのである。信頼、そしてサイバーセキュリティサービスの根幹をなす前提への影響は、計り知れない。

問題はこうだ。長年、セキュリティ専門家たちは、ブラジル国内から発信され、ブラジルのISPのみを標的とする、この巨大なDDoSキャンペーンを追跡してきた。犯人は掴みどころのない、システム内の亡霊のようだった。そこに、オンラインの公開ディレクトリに投下された、安全なファイルアーカイブが秘密を囁き始めた。中身は？予想されるPython攻撃スクリプトだけでなく、Huge NetworksのCEOのプライベートSSHキーまで含まれていたのだ。そう、あのHuge NetworksのCEOのキーだ。

マイアミで設立され、主にブラジルで活動するHuge Networksは、ゲームサーバーの保護でニッチを確立した後、ISP向けのDDoS緩和に軸足を移した。公的な苦情もなく、既知の違法サービスとも無関係で、クリーンな印象だった。企業イメージも、綿密に維持されていた。

しかし、流出したデータは異なる物語を語る。それは、ブラジル拠点の脅威アクターを示唆している。Huge Networksのインフラにルートアクセスを維持していた人物だ。これは単なる不正アクセスではない。ボットネットを構築することなのだ。アーカイブには、このアクターがいかにして、インターネットを体系的にスキャンし、脆弱なルーターや管理されていないDNSサーバーを探し出したかが詳細に記されている――分散型攻撃部隊に勧誘されるための、まさに最適な場所だ。これらは単なる脆弱なデバイスではない。デジタルの前線兵士だ。

DNSリフレクション：増幅エンジン

これがどのように機能するかを理解することが鍵となる。DNSは、インターネットの電話帳であり、ドメイン名をIPアドレスに変換する。通常、DNSサーバーは情報を出し渋り、信頼できるネットワークからのクエリにのみ応答する。しかし、一部のサーバーは誤設定されており、どこからでもリクエストを受け付けるオープンな交換台のように振る舞う。攻撃者はこれを悪用し、なりすましたDNSクエリを送信する。トリックは？クエリはターゲットのネットワークから来たように見えるのだ。そのため、DNSサーバーが応答するとき、攻撃者ではなく、ターゲットにトラフィックが殺到する。

そして、増幅もある。DNSプロトコルの巧妙な拡張機能により、比較的簡単なリクエストから巨大な応答が可能になる。ささやきが叫びを引き起こすのを想像してほしい。攻撃者は、元のリクエストの60〜70倍大きい応答が得られるようにクエリを作成する。これらの侵害されたデバイスが数万台も同時にこれらの増幅されたクエリを発射したら…まあ、それがISPをデータで溺れさせる方法だ。

TP-Linkの中の幽霊

流出したアーカイブには、ボットネット勧誘の正確なターゲットを特定するコマンドライン履歴が含まれている。具体的には、攻撃者はTP-Link Archer AX21ルーターをウェブ上で探していた。なぜこれなのか？それらはCVE-2023-1389、数ヶ月前の2023年4月にパッチが適用された深刻なコマンドインジェクションの脆弱性に対して脆弱だったからだ。それにもかかわらず、明らかに多くのデバイスがまだ露出していた。これは、長年続く問題点を浮き彫りにする。脆弱性の開示、パッチ適用、そして何百万ものデバイス全体での実際の修復との間の遅延だ。

さらに、Pythonスクリプトで見つかった悪意のあるドメイン――hikylover[.]stとc.loyaltyservices[.]lol――は、以前からMirai亜種で稼働するIoTボットネットの制御サーバーとして特定されている。これは新しいマルウェアではない。実績のある方法であり、武装され、そして、反DDoSプロバイダーのインフラ内でホストされていたようだ。

CEO自身のキー

デジタルなパンくずは、直接トップへと続いている。Pythonスクリプトは、Huge NetworksのCEO、Erick NascimentoのプライベートSSHキーを明確に使用していた。質問された際、Nascimentoはファイルは認めたものの、攻撃プログラムを書いたことは否定した。彼は、KrebsOnSecurityに連絡されて初めて、キャンペーンの全容を知ったと主張した。彼はこう説明した：

「我々は、小規模ISPに対する非常に、非常に大規模なDDoS攻撃について、多くのTier 1アップストリームに通知し、報告しました。当時は深く掘り下げず、あなたが送ってきたものでそれが明らかになりました。」

Nascimentoは、2026年1月（脆弱性のパッチ適用日を考えると、おそらく2023年か2024年の間違いだろう）に最初に検出されたセキュリティ侵害を指摘している。この侵害は、2つの開発サーバーと彼の個人SSHキーを侵害したと報告されている。彼は、キーは1月以降使用されなかったと主張し、会社の対応は直ちにチームに通知し、影響を受けたサーバーをワイプし、キーをローテーションすることだった。しかし、アーカイブのタイムスタンプは、1月以降に及ぶ物語を語っている。

PRの駆け引き vs. 建築の現実

この一連の状況は、企業のダメージコントロールを物語っている。CEOの話――競合他社が侵害を利用した――は、競争の激しいサイバーセキュリティ市場では、もっともらしい、いや、むしろあり得る話だ。しかし、証拠は、より深く、さらに不穏な統合を示唆している。CEO自身のキーの使用、TP-LinkルーターでのCVE-2023-1389のような特定の脆弱性の日常的なスキャンと悪用、ブラジルのIPの一貫した標的化――これらは、迅速で機会主義的な競合他社のハッキングの兆候ではない。これらは、維持された、運用能力が使われていることを物語っている。

これは根本的な疑問を投げかける。Huge Networksの正当な事業運営は、これらの攻撃に使用されたインフラと、どの程度深く絡み合っていたのだろうか？ボットネット活動は独立して運用されていたのか、それとも会社のコアビジネスからリソース、あるいは洞察さえも引き出していたのだろうか？ここでの建築的な変化は、単に侵害されたサーバーの問題ではなく、正当なインフラの悪意ある目的に対する潜在的な再利用、おそらくは内部の盲点、あるいはさらに悪いことには、共謀の可能性を意味している。

この事件は、現代のサイバーセキュリティの複雑なアーキテクチャにおいて、保護者と加害者の境界線が、不穏なほど曖昧になりうることを、痛烈に思い出させる。Huge Networksのような専門企業に寄せられる信頼は極めて重要であり、その信頼が疑われただけでも、エコシステム全体がその振動を感じるのである。

なぜこれが他のISPにとって重要なのか？

この事件は、単なる地域的なスキャンダルではない。それは、世界中のISPにとって、点滅する赤い警告灯だ。DDoS防御を専門とする企業が、攻撃ツールの隠れ家となっているとすれば、サプライチェーン全体のあらゆる企業のセキュリティ体制について、何を物語っているのだろうか？それは、我々が依存している防御そのものが、協力されたり、監視メカニズムに巨大な盲点がある可能性を示唆している。他のISPにとって、これはサービスプロバイダーの整合性を検証する努力を倍増させ、トラフィックがどこにルーティングされているか、そしてそれらのパートナーのネットワーク内にどのような潜在的な脆弱性が存在するのかを正確に理解することを意味する。それは、境界防御だけでなく、エコシステム全体をより詳細に検査することを余儀なくさせる。

Huge Networksは嘘をついているのか？

それが100万ドルの質問だ。CEOは、セキュリティ侵害と競合他社による妨害という説明をしているが、サイバーセキュリティの世界では、完全にあり得ない話ではない。しかし、流出したデータの詳細さ、特に個人SSHキーの一貫した使用とボットネットの運用上の特定事項を考えると、彼の話にはかなりの精査が必要だ。証拠は、単純なキー侵害を超えた運用活動のレベルを示唆している。さらなる独立したフォレンジック分析なしに、彼の発言を真実か虚偽かを断定するのは困難だが、提示された事実は、単純な侵害シナリオよりも複雑で、おそらくさらに非難されるべき現実へと明らかに傾いている。