マルウェアやスパムのホスト先として悪名高い「Prospero」、カスペルスキーのネットワーク経由でルーティングを行うように

マルウェアやスパムのホスト先として悪名高い「Prospero」、カスペルスキーのネットワーク経由でルーティングを行うように

KrebsOnSecurity – February 28, 2025

サイバー犯罪に度々利用される「防弾」Webホスティングのプロバイダーが、BGPルーティングにロシアのアンチウイルス/セキュリティ企業カスペルスキーのネットワークを使用するようになっているとの報道。

昨年11月、フランスのサイバーセキュリティ企業Intrinsecは、ロシアのASプロバイダー「Prospero OOO（AS200593）※」が、ロシアを拠点とする別のASプロバイダー「Proton66 OOO（AS198953）」と関連している可能性が高い旨を指摘。また、Proton66が、ロシアのサイバー犯罪フォーラム上で宣伝されている防弾ホスティングサービス「SecureHost」および「BEARHOST」と結び付いているとの考えも明かした。Intrinsecによれば、Prospero（Proton66）はここ2年間に、ランサムウェアグループを含むさまざまなサイバー犯罪グループにサービスを提供してきたという。具体例として、SocGholishやGootLoaderといったマルウェアのオペレーションをProsperoが頻繁にホストしていることも報告されている。

（※OOOはロシア語でLLCの意）

上述の防弾サービスBEARHOSTは遅くとも2019年から評判を高めてきたサービスで、フォーラム上の広告投稿には、「ボットネットやマルウェア、ブルート、スキャン、フィッシング、フェイクその他のタスクに使うサーバーをお求めなら、私たちに連絡してください」と記されているほか、ブラックリストサービス「Spamhaus」によるブロッキングを回避できる性能について謳う文言もあるという。Spamhausはマルウェアやスパムの発信源を特定・阻止するためのサービスで、世界各地のインターネットサービスプロバイダーに利用されている。

そんなSpamhausが先週明かしたところによると、同社はProsperoが突如、インターネットへの接続をカスペルスキーによって運営されるネットワーク（AS209030）を介して行うようになったことに気づいたという。ネットワークオブザーバビリティ企業Kentikのインターネット分析部門長Doug Madory氏は、ルーティング記録にはProsperoとカスペルスキーの関係が2024年12月に始まったことが示されていると指摘している。

一方でカスペルスキー側は、同社が防弾Webホスティングプロバイダーにサービスを提供しているとの説を否定。「カスペルスキーが運営するネットワークを介したルーティングが、必ずしも当社のサービスの提供を意味するわけではない」と述べ、その理由は、同社のASパスが同社のDDoSサービスを利用する電気通信プロバイダーのネットワークの技術上のプレフィックスとして表出する可能性があるためだとした。加えて、「当社は現在、自社のネットワークが『防弾』Webホスティングプロバイダーのトランジットとして使われた可能性のある企業への通知を行い、当該企業が必要な措置を講じられるようにするため、状況を調査中である」とも述べている。

カスペルスキーがなぜProsperoにトランジットを提供しているのかは不明だが、Madory氏によれば、カスペルスキーは顧客企業をDDoS攻撃から守るためのサービスを販売しており、Prosperoも単純にこのサービスをカスペルスキーから購入しているという可能性も考えられるという。一方で、セキュリティ企業Silent Pushのシニア脅威リサーチャーであるZach Edwards氏は、「ある意味では、有名な防弾ホスティングプロバイダーにDDoS保護を提供することは、単に自社のインフラを通じたインターネット接続を許可することよりもよっぽどタチが悪いかもしれない」と述べ、Madory氏の仮説が正しかったとしても状況が良くなるわけではないことを示唆した。