防弾ホスティングの実態と対策

概略

「防弾ホスティング(Bulletproof Hosting)」とは、違法・不正利用を容認するホスティングサービスを指します。通常のホスティングサービスは、利用規約や法令に違反するコンテンツ(マルウェア配布、スパム、詐欺サイト、児童ポルノ、著作権侵害など)を検知すれば、契約を停止または削除します。しかし防弾ホスティング業者は、「どんなコンテンツでもホストできる」「DMCAや当局の要請に応じない」 ことを売り文句にし、サイバー犯罪者に利用されています。

この「防弾(Bulletproof)」という言葉は、法的要求や通報などによる 当局からの “弾丸” を受けてもサービスを停止しない という意味で使われていたスラングでした。近年では、メディアやセキュリティ企業でも同様の名称を使っており、防弾ホスティングの提供者をBHP(Bulletproof Hosting Providers)などと呼称します。

本稿では、防弾ホスティングの特徴や事例を紹介し、どのような対策が求められるかを解説します。

本稿に記載した内容は、個人的な見解を示したものであり、筆者の所属する企業・団体の公式見解ではありません。

特徴と実態

防弾ホスティングの特徴

防弾ホスティング事業者は一見すると通常のデータセンターやVPS事業者と変わりません。しかし、以下のような特徴があります。

• 不正コンテンツの容認: フィッシングサイト、C2サーバー、ボットネット制御、スパム配信などを黙認。
• 複雑な契約構造: 名義を偽装したり、リセラー経由でサービスを提供したりする。
• 法的管轄の回避: 法執行が及びにくい国・地域にサーバーを設置。
• 頻繁な移転(bulletproof rotation): 通報を受ける前にIPやドメインを入れ替える。
• 暗号資産決済対応: 身元を隠すため、仮想通貨での支払いを主とする。

これらの要素により、一般的なホスティングよりも摘発が困難になっています。

多くの防弾ホスティング事業者は、表向きには通常のレンタルサーバーやデータセンターを装っています。裏では、複数のプロバイダーを経由してネットワークを隠し、 「安定的に悪用できるインフラ」 を提供しています。

主な利用例

• マルウェアのC2サーバー
• ランサムウェアのデータ流出サイト
• フィッシングページや詐欺広告
• 著作権侵害コンテンツの配布
• 不正メールリレー(スパム中継)

さらに、防弾ホスティングプロバイダー同士が連携し、 IPブロックリストをすり抜けるためのIPローテーションや、複数国に分散した冗長構成を取るケースも見られます。

防弾ホスティングが使われた主な事件

Russian Business Network(RBN)

ロシアの「Russian Business Network(RBN)」は、2000年代半ばに台頭した 犯罪支援型のインターネットサービスプロバイダー(ISP) であり、防弾ホスティングの黎明期を象徴する存在として知られています。表向きは一般のホスティング業者を装いながらも、実際にはフィッシング詐欺、マルウェア配布、スパム送信、児童ポルノ、ボットネット指令サーバーなど、違法活動を行うウェブサイトやネットワークの基盤を提供していました¹²。

RBNは2006年前後に活動が顕在化し、当初はサンクトペテルブルクを拠点とする合法的なISPとして登録されていたものの、次第に「法執行当局の要請や通報を無視するISP」として知られるようになります。RBNが他の事業者と異なっていたのは、当局からの削除要請やブラックリスト登録を一切受け入れない「防弾」姿勢を明確に打ち出していた点です。セキュリティ企業のSecureWorksは2007年の分析レポートの中で、RBNを「犯罪者向けのインフラを提供する完全に“防弾”なホスティング事業者」として紹介しました²。

この頃、反スパム団体SpamhausもRBNを「世界中のサイバー犯罪者にホスティングを提供するBulletproof Hosting Provider」と公然と非難しており¹、この報告が “Bulletproof”という言葉がセキュリティ業界で公的に使われ始めた初期の例とされています。

RBNの活動は急速に国際的な注目を集め、2007年にはイギリスの『The Guardian』紙が「ロシアのウェブ犯罪者を追え(Hunt for Russia’s web criminals)」という特集記事を掲載し、RBNが「‘bulletproof’ hosting**」を提供していると報じました³。同記事では、RBNがフィッシング詐欺やスパイウェア配布サイトを世界規模で支援しており、ISPやドメイン登録機関が停止要請を出しても効果がない実態が詳述されています。

その後、RBNは米国や欧州の上流プロバイダから接続を遮断され、2007年末までに主要IPブロックの多くが停止されました。しかし、運営者や技術者の一部はその後も拠点を変えて活動を継続したとされ、RBNの運営モデルは後続の「防弾ホスティング」業者に大きな影響を与えました。RBNは結果的に、防弾ホスティングという概念を社会に可視化させた最初の事例として、サイバー犯罪史の節目に位置づけられています。

CyberBunker

オランダの「CyberBunker」は、「何でもホスティングする(Everything Goes)」 をスローガンに掲げた代表的な防弾ホスティング業者です。もともとはオランダ南西部ゼーランド州の旧NATO防空バンカー(退役軍事施設)を1990年代後半に買い取り、そこをデータセンターとして運営を開始しました⁴。その後、ドイツ・トラーベン＝トラールバッハ(Traben-Trarbach)の元軍用施設に拠点を移し、匿名性の高い「地下ホスティング」を売りにしていました。

CyberBunkerは、当局やDMCAに従わず、スパム業者・マルウェア配布サイト・ダークウェブ関連サイトをホストしていたとされます。2013年には、反スパム団体Spamhausが、CyberBunkerをブラックリストに掲載したことを契機に、同社関係者が関与したとされる 世界規模のDDoS攻撃(最大約300Gbps) が発生しました⁵。この攻撃はDNSアンプ(増幅)を利用したもので、クラウドフレア(Cloudflare)のレポートによれば「インターネットの根幹を脅かす規模」だったとされています⁶。攻撃は数日にわたり継続し、インターネット全体の遅延や通信障害を引き起こしました。

2019年9月、ドイツ警察はCyberBunkerのドイツ拠点を家宅捜索し、運営者ヘルマン・ヨハン・ゼント(Herman-Johan Xennt)ら7名を逮捕しました。2020年からドイツ・トリーア地方裁判所で審理が行われ、2021年12月に「犯罪組織の形成」などの罪で有罪判決が下されました⁷。主要被告のゼントは懲役5年9か月の実刑判決を受け、他の共犯者も2〜4年の刑期を宣告されています。この判決は、防弾ホスティング事業者を 「犯罪行為を支援したインフラ提供者」 として刑事責任を問う先例の一つとなりました。

運営者側は、サーバーに載せられた違法なコンテンツについて「故意には知り得なかった」「利用者の情報だけ管理しており、内容については閲覧・確認していなかった」と主張しています⁸。この種の主張は、「ホスティング業者＝データ提供者」であって、「利用者がアップロードする情報までは監視しない」という態度を示すものです。

「知らなかった」という主張は、運営者が故意・無過失性を主張するものですが、検察や被害者側は、ログ・内部資料・通信履歴・取引履歴などから運営側の関与・承知性を立証しようとします。CyberBunkerの裁判でも、検察は運営者が通報を無視・隠蔽工作をしていた証拠を示して、単なる無知主張は認めないという論を展開しています。

また、CyberBunkerは、自社ウェブサイトで「どんなウェブサイトでも受け入れるが、児童ポルノおよびテロ関連は除く」というポリシーを掲げていた、という記録があります⁹。つまり「全てを許すわけではない、最低限の線引きはしている」という主張を出すことで、完全に無制限ではないという印象を与えようとした可能性があります。

防弾ホスティングへの対策

防弾ホスティングを根絶することは容易ではありませんが、企業や団体が被害を受ける前に防御するための実践的な対策は存在します。これらはサーバー側の防御だけでなく、通信経路や情報共有の活用によってリスクを下げる取り組みです。

1. 悪性ネットワークのフィルタリング

最も基本的な対策は、既知の防弾ホスティング事業者やスパム送信元をブロックすることです。 Spamhaus の提供する「DROPリスト(Don’t Route Or Peer)」や「BCL(Botnet Controller List)」を参照し、社内のファイアウォールやプロキシで該当アドレスを遮断することで、悪性ホスティングとの通信を未然に防ぐことができます。 これらのリストは日次で更新され、IP単位・AS番号単位でのブロックが可能です¹⁰。

同様に、Abuse.ch が提供する「ThreatFox」や「Feodo Tracker」などのIOCフィードも有効です。これらは防弾ホスティング上に置かれたC2サーバーや不正ドメインを継続的に追跡しており、企業のSIEMやIDSに統合することで、自動検知・遮断が実現します。

2. DNS・メール経路でのブロック

防弾ホスティングはフィッシングサイトやスパムの送信元になることが多いため、DNSレベルでのブロックやメールゲートウェイのフィルタリングも重要です。 DNS Firewall(例：Quad9, Cisco Umbrella など)を導入することで、既知の悪性ホストへの名前解決自体を防ぐことができます。 また、Spamhaus ZENやBarracuda Reputation Block List(BRBL)といったDNSBLを活用すれば、スパム送信元を高精度に拒否できます。

3. トラフィック監視と異常通信の検出

防弾ホスティングを経由する攻撃は、通常の業務通信とは異なる特徴(国外IPとの大量通信、暗号化されないHTTP POST、特定ポートへの定期送信など)を示します。 SOCやEDRによる通信メタデータの監視、および脅威インテリジェンスとの突合を行うことで、被害兆候を早期に発見することが可能です。特にAS(Autonomous System)単位での監視を行うと、防弾ホスティング運営者のネットワーク変遷を追跡しやすくなります。

4. 情報共有と外部連携

防弾ホスティングは国際的に展開されるため、自組織だけで防ぐことは難しいという前提に立つことが重要です。 国内ではJPCERT/CCの「TAKEDOWN支援」や「脅威情報共有プロジェクト」への参加、国際的にはSpamhaus・Abuse.ch・Shadowserver Foundationなどの信頼できる脅威情報機関と連携することが効果的です。 これにより、マルウェア配信サイトやフィッシングドメインが防弾ホスティング上で稼働し始めた段階で通知を受け、早期に対策を講じることができます。

5. 組織内教育と対応体制の整備

最後に、インシデント対応チームやCSIRTの内部で、防弾ホスティングを経由した攻撃手法を理解しておくことも不可欠です。 攻撃メールのログや通信履歴を確認する際、単にドメイン名だけでなく「どのASから配信されたのか」「どのリージョンのホスティングか」を調べる習慣を持つことで、リスクの高い接続先を見抜く力が高まります。

最後に

防弾ホスティングは、 サイバー攻撃の「裏インフラ」 として長年機能しており、Avalanche や CyberBunker、xDedic などの事件が示す通り、世界的な脅威となっています。

しかし同時に、国際的な摘発・脅威共有体制の成果によって、徐々にその活動領域は縮小しつつあります。防弾ホスティング対策は、個々の企業だけでなく、SpamhausやAbuse.chなどのグローバルなフィルタリング・情報共有の仕組みと連携することが鍵です。

1. Spamhaus: “The RBN is a bulletproof hosting provider catering to cybercriminals worldwide.” ↩ ↩²

2. SecureWorks: “The Russian Business Network: RBN Analysis and Overview” (2007, archived) ↩ ↩²

3. The Guardian, Hunt for Russia's web criminals (2007, archived) ↩

4. Scientific American, “The Truth Behind the Biggest Cyberattack in History” (2013) — CyberBunkerが旧NATO施設を利用していた経緯を報告。 ↩

5. The Guardian, “Alleged mastermind behind attack that almost broke the internet goes on trial” (2016). ↩

6. Cloudflare Blog, The DDoS that almost broke the Internet ↩

7. Deutsche Welle (DW), “German court convicts 'CyberBunker' data center operators” (December 2021). ↩

8. The “Cyberbunker”, hosting providers and the e-commerce directive ↩

9. Wikipedia CyberBunker ↩

10. Spamhaus DROP/EDROP — https://www.spamhaus.org/drop/ ↩