Executive Summary

ドイツのホスティングプロバイダーである aurologic GmbH は、世界的な悪意のあるインフラストラクチャエコシステム内の中心的な存在として浮上しました。同社は、 Recorded FutureのNetwork Intelligenceで確認された悪意のあるインフラストラクチャの検証済み情報源として常に上位にランクされている、大規模に集中している高リスクのホスティング ネットワークに、上流トランジットおよびデータ センター サービスを提供します。 このつながりには、Virtualine Technologies、Femo IT Solutions Ltd、Global-Data System IT Corporation (SWISSNETWORK02)、Railnet、最近制裁を受けた Aeza Group など、Insikt Group が脅威活動促進者 (TAE) として高い信頼度で評価している複数のホスティング プロバイダーが含まれます。

Combahton GmbHのfastpipe[.]ioの移行に伴い2023年に設立されました。ネットワークでは、Aurologic はドイツのランゲンにある Tornado Datacenter GmbH & Co. KG の主要施設から運営されています。同社は、商業およびエンタープライズ顧客向けに専用サーバーおよびクラウド サーバー ホスティング、データ センター コロケーション、IP トランジット サービス、分散型サービス拒否 (DDoS) 保護を提供する、大容量のヨーロッパ通信事業者として自らを売り込んでいます。正当なネットワークとデータセンターの運用に主眼を置いているにもかかわらず、Aurologic は、世界的なホスティング エコシステム内で運用されている最も不正でリスクの高いネットワークのハブとして浮上しました。

オーロロジック社の既知の下流顧客の多くが、なぜこれほどまでに大規模な高リスクホスティング ネットワークを集中的に形成しているのかは確認できませんが、同社が複数の TAE の疑いのある企業間の共通リンクとして機能しているという事実は重要です。これには、Aurologic が自ら中立性を主張していること、Aeza などの認可を受けた へのアップストリーム接続を継続的に提供していること、欧州の規制環境における執行リスクが限られているという認識など、複数の要因が考えられます。 これらの要因を総合すると、業務の安定性と回復力を求める高リスクのプロバイダーにとって、泌尿器科医療は魅力的な選択肢になったと考えられます。

Insikt Group は、aurologic の事例は、ホスティング エコシステム内の説明責任を取り巻くより広範な構造的課題を例示していると評価しています。アップストリーム プロバイダーは、インターネットのインフラストラクチャ階層内で極めて重要な位置を占めており、執拗な不正行為を阻止する独自の立場にあります。しかし、多くの企業は下流の活動に対する責任を先送りし続け、法的に強制された場合にのみ介入しています。中立性はインターネットガバナンスの基本原則であり続けていますが、実際には、それが不作為の根拠となり、サイバー犯罪、偽情報、その他の形態の不正行為に繰り返し関連付けられるネットワークの存続を可能にしています。上流プロバイダーが、法的義務だけでなく、インフラストラクチャの悪用を防ぐ運用上および倫理上の責任に基づいて行動することで、このような活動に対する有意義な進歩を実現できます。

主な調査結果

• aurologic は、世界的な高リスクホスティング エコシステム内の中心的な存在となり、共通の上流プロバイダーとして繰り返し登場しています。
• 制裁を受け、悪用が多いネットワークに対して aurologic が継続的にサービスを提供していることは、リスク回避よりも法令遵守を重視する姿勢を示しています。
• aurologic のリアクティブベースの不正使用処理は、グローバル ホスティング エコシステム内における法的中立性と運用責任の間の体系的なギャップを例示しています。

背景

aurologic GmbHは、2023年10月にドイツのホスティングプロバイダーとして登場しました。インフラストラクチャと自律システム番号（ASN）AS30823に基づいて構築されており、以前はcombahton GmbHによってfastpipe[.]ioの下で運営されていました。ブランド。2023 年 11 月、combahton GmbH は aurologic GmbH への完全な移行を正式に発表し、ブランド変更と事業の継続性を強化しました。aurologic は、Tornado Datacenter GmbH & Co. KG に主要施設を構え、ヨーロッパ全域でマルチテラビットのバックボーンを販売しています。両社は、2015年9月からAurologicのCEO、2022年4月からTornado DatacenterのCEOを務めているJoseph Maximilan Hofmann氏が率いています。

2023 年の設立以来、aurologic は、疑わしい活動や違法な活動をサポートする広範なホスティング エコシステムにおける役割が、情報レポートやフォーラムで繰り返し取り上げられてきました。たとえば、Qurium の Doppelgänger 偽情報ネットワークに関するレポートでは、ロシアにリンクされたインフラストラクチャを可能にするドイツの上流プロバイダーの 1 つとして aurologic が特定されており、WAIcore Hosting Ltd (AS210281)、Daniil Yevchenko (ブランド名 Altawk、AS203727)、EVILEMPIRE (別名 Tnsecurity Ltd (AS216309)) などのホスティング プロバイダーと長年にわたる関係を維持しています。コミュニティの議論では、Aeza Group LLCは「契約上の顧客」ではないとホフマン氏が公開フォーラムで弁明したにもかかわらず、AurologicとAeza International Ltd（米国制裁下、さらに最近では英国の制裁下）との継続的な関係がさらに精査された。 ホフマン氏はさらに、不正利用の件数が少ないこと、積極的な調査、ドイツの法律を順守していることを強調して、この関係を擁護した。しかしながら、執筆時点でのルーティング証拠により、aurologic が Aeza International Ltd (AS210644) への主要なアップストリームであり続けていることが確認され、同社の継続的なアップストリーム役割に関する懸念が強まりました。

Aeza 以外にも、aurologic は、Metaspinner net GmbH、Femo IT Solutions Limited、Railnet LLC、Global-Data System IT Corporation など、Insikt Group が追跡している脅威活動の疑いのある企業の最大規模の集中拠点のトランジット プロバイダーとしても知られています。これらの関係により、当社はインフラストラクチャの悪用とデューデリジェンスに関する業界で進行中の議論の中心に位置づけられています。

脅威分析

インフラストラクチャとルーティング

aurologic は、ドイツ、フィンランド、オランダの主要データセンターにまたがる広範なヨーロッパ相互接続フットプリントを維持しています。同社のインフラストラクチャは、ランゲンとアムステルダムの両都市にあるヨーロッパの主要インターネット ハブに拠点を置いており、大規模なコロケーション施設との直接接続を維持しています。これらのデータセンターは、ネットワーク、コンテンツ配信プロバイダー、ホスティング会社が相互接続してトラフィックを効率的に交換する中央交換ポイントとして機能します。複数の施設に拠点を置くことで、aurologic はヨーロッパ全域で高速かつ冗長化された大容量のデータ転送を実現します。

このレベルの接続性により、aurologic は、ホスティング エコシステムの曖昧または不透明な領域で運営しているホスティング会社を含むさまざまなホスティング会社にとって魅力的なアップストリーム プロバイダーになります。技術的な中立性、寛容なポリシー、または限定的な監視を通じて、Aurologic のインフラストラクチャは、悪意のあるアクティビティをホストしているという評判のあるプロバイダーに対して、一定の保護と継続性を効果的に提供します。その結果、aurologic はホスティング業界において複雑な立場に立たされており、接続性と有効化によってインフラストラクチャ プロバイダーとファシリテーターとの違いが曖昧になっています。このダイナミクスにより、Aurologic のネットワークが永続的な悪意のあるインフラストラクチャの基盤としてどのように機能するのか、また、より広範な脅威活動のエコシステムを可能にする上でなぜこれほど重要な役割を果たすのかを理解するための土台が築かれます。

脅威活動促進要因

aurologic の広範な接続フットプリントはトランジット プロバイダーとしての強みを支えるだけでなく、脅威インフラストラクチャ エコシステム内に有効な機能も導入します。ネットワークの範囲、容量、許容度の認識の組み合わせは、不正使用レポートやネットワーク レベルの緩和活動による中断が少ない安定したトランジット関係を求める、疑わしいホスティング プロバイダーにとって魅力的であるように思われます。 Insikt Group認可された から自称防弾ホスティングプロバイダーまで、アップストリーム接続に aurologic を使用している 12 社以上の TAE を特定しました。 このセクションで説明する TAE は最も重要な例であり、 Recorded FutureのNetwork Intelligence内で、公表された IP 空間に関連して、検証済みの悪意のあるインフラストラクチャの最高レベルの一部を示しています。 Recorded Future によって分析され、aurologic にリンクされているアクティブ ネットワークの完全なリストは、付録 Aに記載されています。

アエザグループ

Aeza Group は、2021 年に設立されたロシアのホスティング プロバイダーであり、主に英国に登録された会社である Aeza International Ltd (AS210644) を通じて事業を展開しています。設立以来、Aeza はよく知られた TAE となり、不正使用を許容するレジリエントなインフラストラクチャを通じて、サイバー犯罪者や国家主導の活動を可能にしてきました。 本稿執筆時点では、Aeza International が発表した IP プレフィックスの約 50% が aurologic 経由でルーティングされており、アップストリーム接続に関してドイツのプロバイダーに引き続き依存していることがわかります。

Insikt Group 、 Recorded Future 2024悪意のあるインフラストラクチャレポートの中で、検証済みの悪意のあるインフラストラクチャの中で最も著名な情報源の1つとしてAezaを取り上げ、ランサムウェアや情報窃盗など、さまざまな脅威を可能にする上でのその役割を詳細に説明し、ロシアの偽情報ネットワークであるDoppelgängerにおけるその重要な役割を指摘した。 QuriumのDoppelgängerレポートが2024年7月に公開された後、Aezaは2024年8月に、英国を拠点とするホスティングプロバイダーであるDataCamp Limited（AS60068）が契約を解除したことを明らかにし、その結果、Aezaはaurologicと提携して事業を継続することになった（図1 ）。Aezaの継続的な活動は、その後、ロシア、米国、英国の法執行機関や規制当局の介入を招いた。

逮捕

2025年4月、ロシア当局は、ダークネットの麻薬市場ブラックスプルットの運営に関与した容疑で、アエザ・グループの共同創設者ユーリー・メルジャノビッチ・ボゾヤン氏とアルセニー・アレクサンドロビッチ・ペンゼフ氏を逮捕した。この逮捕は、4月1日に連邦保安局（FSB）が旧ワグナーPMCセンターにあったアエザのサンクトペテルブルク本部を捜索した後に行われた。

ボゾヤン氏とペンゼフ氏の両名は、組織犯罪グループへの参加と大規模麻薬密売の罪でロシア刑法第210条および第228.1条に基づき起訴された。ロシアのメディア報道によると、この2人は、Aezaが英国で登録された であるAeza International Ltd.を通じてホストしていたBlackSprutの事業に「技術的基盤」を提供したという。

制裁

2025年7月1日、米国財務省の外国資産管理局（OFAC）は、

英国の国家犯罪庁（NCA）と連携し、Aeza Groupとその関連会社を「防弾ホスティングサービスプロバイダー」として制裁した。OFAC は、Aeza Group のインフラストラクチャが、BianLian ランサムウェア、Lumma および Meduza インフォスティーラー、RedLine Stealer に関連する活動に起因するものとしました。

指定企業のリストには以下が含まれます。

• アエザグループ
• Aeza International Ltd（英国支店）
• Aeza Logistic LLC（ロシアに拠点を置く子会社）
• Cloud Solutions LLC（ロシアに拠点を置く子会社）

2025年9月19日、英国政府はOFACの措置に続き、英国に登録されているAeza International Ltdに対し、「ロシアの偽情報キャンペーンにインターネットサービスを提供することでウクライナの不安定化を引き起こした」として制裁を科した。しかし、本稿執筆時点では、Aeza International は英国で法的に登録された会社のままであり、まだ会社登録簿から抹消されていません。

連続

共同創設者の逮捕や制裁の導入にもかかわらず、アエザはインフラの再配置を継続的に行う能力を示してきた。これらの措置は、業務の衰退を示すものではなく、主要なネットワーク リソースに対する制御を維持し、サービスの継続性を維持することを目的とした資産の急速な再編成を促したようです。

OFACによる2025年7月の制裁から24時間以内に、 Insikt Group 、Aezaが米国のIPリソースをSmart Digital Ideas DOOという名前でセルビアの組織に再配分し始めたことを確認しました。この組織は、OFACが制裁を発表したわずか数時間後に登録されました（図2を参照）。 Insikt Group は、これは OFAC 制裁によって影響を受ける資産の管理権を保持することを意図したものだと確信を持って評価しました。

2025年7月3日、Insikt Groupは、Aezaに直接リンクされたインフラストラクチャを備えた英国登録企業であるHypercore Ltdの出現を確認しました。2025年7月4日、Hypercore LtdにIPプレフィックス45[.]142[.]122[.]0/24が再割り当てされました。Smart Digital Ideas DOO からの割り当てで、これは 1 日前に作成されたものです (図 3 を参照)。

2025年7月7日に、Smart Digital Ideas DOOにRIPEデータベースでASN AS215829が割り当てられました（図4を参照）。特に、スポンサー組織ORG-AIL64-RIPEは Aeza International Ltd であり、AS オブジェクトには Cloud Solutions LLC にまで遡る参照も含まれています。

Aeza は 2025 年を通じて悪意のある活動の主要な情報源であり続けています。 Recorded Future ®マルウェアインテリジェンスに基づいて、Insikt Group は、AS210644 へのネットワーク接続を示す複数のマルウェア サンプルを特定しました。これらのサンプルには主に、AsyncRAT、Destiny Stealer、Meduza Stealer、REMCOS RAT、Rhadamanthys Stealer、RisePro Stealer、QuasarRAT などのインフォスティーラーやリモート アクセス トロイの木馬 (RAT) が含まれていました。

Insikt Group による親ロシア派グループ DDoSia に関する最近の分析では、サイバー犯罪の状況において Aeza が引き続き役割を果たしていることがさらに強調され、2024 年 7 月から 2025 年 7 月の間に特定されたすべての Tier 1 コマンド アンド コントロール (C2) サーバーのうち、Aeza International Ltd (AS210644) が 7.5% を占めていることが示されました (付録 B を参照)。また注目すべきは、aurologic のサービスを使用している他の AS が、観測された C2 インフラストラクチャのさらに 6% を占めている一方で、DDoSia Tier 1 C2 IP アドレスの約 13.5% が aurologic によって直接、またはそこからアップストリーム トランジットを受信する ASN によってアナウンスされたことです。

フェモITソリューションズ株式会社

Femo IT Solutions Limited (AS214351) は英国に設立された組織であり、 /24プレフィックスを 2 つしか公表していないにもかかわらず、Recorded Future Network Intelligence によると、その規模に比べて、検証済みの悪意のあるインフラストラクチャが一貫して最も集中している組織の 1 つです。Femo IT Solutions が発表した IP アドレスは、Cobalt Strike、DcRat、Rhadamanthys Stealer、TinyLoader、および THC Hydra の C2 インフラストラクチャをホストしていました。さらに、Recorded Futures Malware Intelligence は、Amadey、Aurotun、QuasarRAT、RedLine Stealer、REMCOS RAT、Stealc、SystemBC、SvcStealer など、Femo IT Solutions インフラストラクチャへのネットワーク接続を示す多数のマルウェア サンプルを強調表示しました。

Insikt Group はまた、最近のレポート「 CastleLoader から CastleRAT へ: TAG-150 が多層インフラストラクチャで運用を促進」で、Femo IT Solutions でホストされている多数の CastleLoader C2 インフラストラクチャを特定しました。

Femo IT SolutionsのIPプレフィックス62[.]60[.]226[.]0/24176[.]46[.]152[.]0/24どちらも、排他的に aurologic 経由でルーティングされます (図 5を参照)。

IP プレフィックス62[.]60[.]226[.]0/24は、Femo IT Solutions によって直接制御されます。このプレフィックスは、イラン科学研究技術省の管轄下にある政府管理機関であるイラン科学技術研究機構 (IROST) に属する、より大きな/17ブロックから割り当てられました。この分野からのサブ割り当ては、 Insikt Groupが追跡している他のTAEの疑いのある企業（Aeza Aeza International（AS210644）、Hypercore Ltd、Smart Digital Ideas DOO、Global Connectivity Solutions、Global Internet Solutionsなど）によっても活用されています（図6を参照）。

2番目に発表されたプレフィックス176[.]46[.]152[.]0/24 は、オマーンに登録されている会社である New Way LLC に帰属します。この割り当ては、データセンターおよびホスティング サービスを提供するイランのインターネット サービス プロバイダー (ISP) Farahoosh Dena PLC が管理する/19ネットブロックから派生したものです。この範囲の RIPE オブジェクトには、フィラデルフィアの住所とオマーンの登録を含む矛盾した詳細がリストされています (図 7 )。

ネットワークはアップストリーム接続を Aurologic のみに依存しており、防弾ホスティング プロバイダーの Defhost との明確な運用上のつながりを示しています (図 8 を参照)。

Defhost は、あらゆる政府、特に西側諸国の法執行機関や「The Spamhaus Project」などの不正使用対策組織による削除活動に耐えられる「不正な VPD/VDS の高速処理」を重視しており、同時に、その運用が中断されないことを顧客に保証しています。Insikt Group は、Femo IT Solutions が Defhost の管理下にあると高い確信を持って評価しています。

グローバルデータシステムITコーポレーション

SWISSNETWORK02という名称でも知られるGlobal-Data System IT Corporation（AS42624）は、Simple Carrier LLCからASNリソースが移管された後、2024年7月に誕生しました（図9 ）。運用開始からわずか1年余りで、このネットワークはRecorded FutureのNetwork Intelligenceで観測された悪意のあるアクティビティの集中度が最も高いネットワークの1つとなり、2025年9月時点で悪意のあるアクティビティの密度が上位10位以内にランクインしました。 そのインフラストラクチャは、Cobalt Strike、Sliver、QuasarRAT、Remcos Rat、Dark Crystal RAT、Latrodectus、Amadey、およびRhadamanthys、RedLine Stealer、Meduzaなどの複数のスティーラー ファミリを含む、幅広いマルウェア ファミリをホストしてきました。

Insikt Group は、Global-Data System IT Corporation が、顧客確認 (KYC) ポリシーなし、デジタル ミレニアム著作権法 (DMCA) を無視したホスティング、および Tor 対応のインフラストラクチャを公然と宣伝している、スイスに登録されたオフショアのプライバシー重視のホスティング プロバイダーである PrivateAlps と密接な関係があると中程度の確信を持って評価しました。

このインフラストラクチャは、マルウェアホスティング以外にも、DDoSIA、Socks5Systemz、その他の商用マルウェア エコシステムをサポートしています。また、ラテンアメリカ諸国政府に対する TAG-144 の作戦など、標的を絞ったキャンペーンでも活用されています。

Global-Data System IT Corporation のすべてのアクティブ プレフィックスは、aurologic 経由でのみルーティングされます。2025 年 9 月のルーティング グラフでは、11 個の IPv4 プレフィックスすべてが、分散なしで aurologic を経由してルーティングされていることが確認されており、aurologic は Global-Data System IT Corporation のリーチと回復力の重要な実現要因となっています。

Global-Data Systems IT Corporation は、aurologic のようなドイツのアップストリームへの接続を固定することにより、悪意のあるインフラストラクチャとの繰り返しの関係にもかかわらず、世界的な可用性を維持しています。Global-Data System IT Corporation が単一の上流プロバイダーに依存しているため、自然に単一障害点が生じ、中断されると業務に重大な支障が生じる可能性があります。しかし、この取り決めが継続していることは、aurologic の接続性がネットワークの到達範囲をどのように可能にしているかを浮き彫りにし、metaspinner net GmbH や Railnet LLC などの aurologic に関連する他の TAE の疑いで観察されたパターンと一致して、寛容または不十分な審査慣行を示唆しています。

メタスピナーネット株式会社

Metaspinner net GmbH（AS209800）は、2025年4月25日に作成され、aurologicを通じて独占的に発表された、最近登録された自律システムです（図10 ）。「metaspinner net GmbH」という名前は、長い間、ハンブルクを拠点とする合法的なソフトウェア会社と関連付けられてきました。しかし、複数の要因は、自律システム「メタスピナー」が同じエンティティによって制御されていたのではなく、仮想アクターによって制御されていたことを示しており、おそらく仮想アクターと提携しているようです。

[更新] 2025 年 11 月 10 日現在、metaspinner net GmbH は、AS209800 の登録において自社の ID が違法かつ詐欺的に使用されたという Insikt Group の当初の評価を裏付ける実質的な証拠を提示しました。Insikt Groupに提供された偽造された RIPE エンドユーザー契約は、公開されている会社登録文書に対する基本的な検証チェックによって不正な登録を防止できた可能性があることを浮き彫りにしています。 metaspinner net GmbH (ドイツ、ハンブルク) は、AS209800、Virtualine Technologies、またはそのネットワークに関連する悪意のある活動とは一切関係がありません。

AS209800 は、開始以来、かなりの悪意のある痕跡を蓄積してきました。Recorded Future は、ASN 内のインフラストラクチャが、TinyLoader や SmokeLoader などのローダー、Stealc、Amadey、Phorpiex などの情報窃盗マルウェア、AsyncRAT、njRAT、QuasarRAT、Dark Crystal RAT、REMCOS RAT などの複数のリモート アクセス トロイの木馬など、さまざまなマルウェア ファミリと関連ツールをホストしていることを確認しました。Moobot などのボットネットや、Cobalt Strike のようなポストエクスプロイト フレームワークも検出されています。これらの観察結果は、短期間にネットワークから大量の疑わしいアクティビティが発生していることに最近気づいた Spamhaus の見解と一致しています。

2025年10月3日現在、AS209800は91[.]92[.]240[.]0/22の範囲内に12個のIPv4プレフィックスを生成した。158[.]94[.]208[.]0/22 、そして178[.]16[.]52[.]0/22 。RIPE によれば、これらの IPv4 ブロックはいずれも metaspinner が所有しているものではありません。代わりに、それらはイスタンブールに本部を置くトルコのローカルインターネットレジストリ (LIR) である MGN Teknoloji Anonim Sirketi からサブ割り当てされています (図 11 )。このLIRは、2025年に作成された他のいくつかの疑わしいASNもスポンサーしています（付録C ）。

AS209800 の歴史的足跡は、再利用の可能性をさらに示唆しています。AS209800 は、2020 年 12 月に IPv6 /48 を短期間アドバタイズした後休止状態となり、2025 年に完全に新しい IPv4 アドレス空間と MGN Teknoloji へのリンクを備えて再登場しました。RIPE には公式の移転は記録されていませんが、動作の変化は ASN が乗っ取られたか再割り当てされたことを示唆しており、これは、VSVK Onderhoud BV (AS213511) など、同じ期間に観測された他のなりすましのTTPsと一致しています。

ドメイン登録に不規則性が見られます。同じ名前の合法的なソフトウェア会社であるmetaspinnerは、ドメインmetaspinner[.]deを運営していました。そしてmeta-spinner[.]netは、時間の経過とともに現在のドメインであるpreispiraten[.]deにリダイレクトされました。（図12および13を参照）。ドメインmetaspinner[.]net 、当初は 2000 年代半ばに失効していましたが、2025 年 4 月 18 日に URL Solutions, Inc. を通じて再登録され、その後、その記録が更新され、不正使用を許容する慣行で知られるレジストラである NiceNIC がそのレジストラとして反映されました。

分析時点では、 metaspinner[.]netIPアドレス65[.]21[.]125[.]233でホストされていました。Insikt Group は、これが Virtualine Technologies と関連していると高い確信を持って評価しています。このドメインの RIPE データと WHOIS データの両方に、ロンドンの 71-75 Covent Garden にある仮想オフィスの住所が記載されています。この住所は、以前は Virtualine Technologies に関連する組織によって使用されていました。65[.]21[.]125[.]233の過去のIPホスティング記録metaspinner[.]netを表示するvirtualine[.]netなどのVirtualine Technologiesにリンクされたドメインと共有インフラストラクチャで運用されています。そしてvirtualine[.]org 。過去の IP ホスティング記録を見ると、このドメインが、かつて VSVK Onderhoud BV (AS213511) に関連付けられていたドメインであるvonie[.]netとインフラストラクチャを共有していたこともわかります。さらに、 65[.]21[.]125[.]233は、さらに4つの疑わしいホスティング関連ドメインをホストしています。proxio [.]net 、proxio[.]cc 、ntired[.]net 、そしてlanedo[.]net 。これらのドメインの重要性と Virtualine Technologies との関連の詳細については、次のサブセクションで説明します。

VSVK Onderhoud B.V.

2025 年 1 月 27 日、正規のオランダ建設会社である VSVK Onderhoud BV の名前を使用して AS213511 が登録されました。合法的な VSVK Onderhoud はオランダ国内でのみ運営されており、IT 事業や通信事業は行いません。過去のWHOIS データによると、AS213511 の上流プロバイダーとして Railnet LLC (AS214943) が存在することが確認されました。Railnet LLC は、特に Virtualine Technologies と強いつながりを持っています。この観察されたインシデントは、AS レベルのなりすましキャンペーンにおける新たなパターンを強調しています。このパターンでは、妄想アクターが企業 ID を捏造し、正当に見えるインフラストラクチャを利用してフィッシングや IP ハイジャック計画を可能にする可能性があります。 執筆時点では、AS213511 はグローバル ルーティング テーブルに表示されなくなりました。

Proxio

プロキシオ（ proxio[.]net）Virtualine Technologies との注目すべきつながりを持つ、新しく設立されたプロキシ サービスのようです。Proxio は最近、ダークウェブや地下フォーラムで宣伝されており、高速住宅用または混合プロキシ プロバイダーとして位置付けられています。注目すべきは、BlackHatWorldフォーラムで「Secury」という別名で活動し、Virtualine Technologiesのロゴをプロフィール写真として使用しているフォーラムユーザーが、Proxioサービスを宣伝しているのが確認されたことです（図14を参照）。このブランドとインフラストラクチャの重複は、Proxio と Virtualine Technologies が関連している可能性を強く裏付けています。

アンチレッドホスティング

アンチレッドホスティング（ antired[.]net）「匿名の反レッド防弾ホスティング」を提供していると主張しており、そのドメイン登録にはロンドンのコヴェントガーデンにある仮想オフィスの住所も記載されている。以前は、 antired[.]hostantired[.]net への リダイレクト が観察されました。「Spamhouse - F**k The Haus!」というホスティングサービスとの関連性が示されました。注目すべきは、Virtualine Technologies のロゴがページの左上に表示されていることです (図 15 )。

Lanedo GmbH

2025年10月16日、metaspinner net GmbHがAS209800経由でネット名「METASPINNERNET」でアナウンスした12個のIPv4プレフィックスはすべて、Railnet LLC、AS214943を起源とする新しいネット名「LANEDONET」でLanedo Datacenter（ ORG-LD194-RIPE ）に再割り当てされました（図16および17を参照）。この変化は、ネットワーク上の悪意のある活動がピークに達したときに発生し、Recorded Future の Network Intelligence は 76 台を超える検証済みの C2 サーバーを特定しました。

Lanedonet Datacenterは、メタスピナーからのIPプレフィックス移転と同日にRIPEに登録され、登録住所はStrawinskylaan 3051 1077 ZX, Amsterdamとなっています。その住所は賃貸オフィススペースのようで、複数の異なる団体が入居している。しかし、そのドメインはlanedo[.]net であり、ドイツのインターネットサービスプロバイダー（ISP）として、ドイツ、オランダ、ブルガリア、米国、ウクライナに専用サーバーを提供している。Insikt Group は、RIPE データベース内で Lanedo GmbH ( ORG-LG235-RIPE ) という別の組織を特定しました。この組織は、記録に記載されている電子メール アドレスinfo[@]lanedo[.]netを通じて、わずか 3 日前の 2025 年 10 月 13 日に登録されました。

いくつかのオープン情報ソースには、「lanedo GmbH iL」という正規の会社名が示されています。所在地は Kollaukamp 1,0 22453 Hamburg, Germany で、2009 年 1 月以来ソフトウェアおよびオープン情報ソースの開発コンサルティング会社として運営されています。 同社の事業ドメインはlanedo[.]comです。執筆時点では、Lanedo GmbHに割り当てられているRIPEリソースはIPv6プレフィックス2a14:db80:7::/48.

Insikt Group metaspinnerの背後にいる脅威アクターがlanedo[.]netを設定する際に正当な企業になりすますというTTPs反映していると高い確信を持って評価しています。 悪意のあるトラフィックが大量に存在するため、ネットワークの監視が強化されたため、メタスピナーから方向転換しました。

レールネットLLC

Railnet LLC (AS214943) は 2024 年 4 月に設立され、運営開始から 1 年以内に、Recorded Future が追跡したネットワークの中で最も不正使用が多いネットワークの 1 つとして急速に浮上しました。Railnet のスペースでホストされているインフラストラクチャは、DarkComet、Amadey、Remcos RAT、Latrodectus、Dark Crystal RAT、および Rhadamanthys、StealC、Vidar、Lumma などのコモディティ スティーラーを含む 30 を超えるマルウェア ファミリをサポートしてきました。

Railnet は、Whitelabel Networks LLC という組織にリンクされた住所と、その他の疑わしいホスティング プロバイダと関係のある法人設立エージェントを使用して、ケンタッキー州で正式に登録されています。 ケンタッキー州は伝統的な秘密管轄区域ではありませんが、この州を選択し、郵便受けの事務所を使用することで、デラウェア州やオフショア管轄区域などのより明白な避難場所を回避することで、可視性を低減しようとする取り組みが示唆されます。

2025年8月28日に観測されたルーティングデータによると、Railnetは19個のIPv4プレフィックスを生成し、そのうち約95%がaurologic経由でルーティングされており（図18 ）、1つの/24範囲のみが別のドイツのプロバイダーであるPfcloud UG経由でルーティングされています。

Railnet の運用上の重要性は、マルウェアが直接ホストされているだけでなく、Virtualine Technologies、DripHosting (DiorHost)、RetryHost などの複数の防弾ホスティング エンティティを可能にする役割にあります。

ロシア語フォーラムで公然と広告を掲載しているロシア関連の防弾ホスティング業者であるVirtualine Technologiesは、Railnetが作成したプレフィックスを少なくとも14個リースしています（図19 ）。これらのプレフィックスは多くの場合、さまざまな LIR に登録され、その後 Railnet 経由でアナウンスされるため、Virtualine は所有権をマスクしながら運用制御を維持できます。シェル の拠点であるロンドンのコヴェント ガーデン 71-75 番地にある Virtualine の登録住所は、Stark Industries Solutions、Aeza International Ltd、Global Connectivity Solutions LLC など、他の TAE の疑いのある企業とも関連付けられていました。

Railnet は、DiorHost としてブランド化されているプロバイダーである DripHosting が使用する複数のプレフィックスを生成します (図 20 )。フォーラムのチャットとドメインインフラストラクチャは、driphost[.]netとの重複を確認しています。DiorHost ブランドのページに解決されます。虐待の連絡先はdior[.]hostにも言及している。両方のラベルが同じ運営者によって運営されている組織である可能性が高いことを裏付けています。

仮想プライベート ネットワーク (VPS) およびリモート デスクトップ プロトコル (RDP) サービスを提供する、フォーラムで宣伝されている別の防弾プロバイダーである RetryHost は、Railnet を通じて単一の範囲を発信します (図 21 )。RetryHost は明確に「防弾」を売りにしており、インフラストラクチャの重複は Railnet と RetryHost 間の緊密な連携または共通のバックエンド管理を示唆しています。

これらのプロバイダーは、Railnet が「防弾」ホスティング オペレーションの共通バックボーンとして機能し、匿名性、ルーティングの復元力、および短期間リースされたプレフィックスを循環させて検知とブラックリストを回避する機能を提供していることを総合的に実証しています (図 22 )。

Railnet のトラフィックの大部分を運ぶことにより、aurologic は、マルウェア配布、ボットネット インフラストラクチャ、および違法な VPS または RDP サービスに一貫して関連している 3 つの個別の防弾ホスティング ブランドへのグローバルなリーチを効果的に拡張します。Railnet のオペレーターは、オフショア構成、目立たない会社構成、プレフィックス サイクリングを活用してフットプリントを隠していますが、上流での aurologic との関係が持続していることから、より広範な懸念が浮き彫りになっています。それは、確立された欧州ネットワークが、高リスクまたは高乱用インフラストラクチャの維持において果たす役割です。

2025 年 10 月 27 日現在、Recorded Futures Network Intelligence は、Railnets AS 上で 80 台を超える検証済みの C2 サーバーを観察しました。これは、メタスピナーから Lanedo データセンター ( lanedo[.]net ) に転送された 12 個の IPv4 プレフィックスの発信による直接的な結果であると考えられます。

Railnet のケースは、繰り返し現れるテーマを強調しています。つまり、aurologic の上流の接続性は偶発的なものではなく、さまざまな TAE のルーティング パスで繰り返し表示されます。Railnet およびその他の TAE は、広範囲にわたる悪用にもかかわらず、継続性を維持するために、aurologic の許容トランジットに大きく依存しているようです。

中立と過失の微妙な境界線

オーロロジック社と複数のTAEの疑いのある上流とのつながりが持続していることから、単一のプロバイダーの枠を超えたより広範な疑問が生じます。そのような関係は、プロバイダーがビジネスモデルの一環として高リスクの顧客を故意に受け入れたり容認したりする共謀ではなく、過失、デューデリジェンスを適用しなかった結果であるかどうかは、どの程度まで問題なのでしょうか。インターネット インフラストラクチャの文脈では、この区別は重要ですが、証明するのが難しい場合がよくあります。交通機関プロバイダーは、グローバルな接続のゲートキーパーとして独特の地位を占めています。悪質なネットワークとのつながりを断つ意思があるかどうかによって、悪意のあるインフラストラクチャがアクセス可能なままであるかどうかが直接決まります。

この文脈における過失は、多くの場合、顧客確認 (KYC) 手順の弱さ、不正使用への対応の不十分さ、または下流のアナウンスの積極的な監視の欠如として現れます。多くの上流ネットワークは、下流の顧客の行動を完全に制御することはできないと主張し、苦情をきっかけに行動を起こしたり、不正使用のレポートを問題の顧客にリダイレクトするだけで、それ以上の行動は取らない。 aurologic も同様の防御策を繰り返しており、通常、虐待の苦情は虐待に関する電子メール アドレスに送信しますが、ホスティング コミュニティのメンバーは、それとは異なることを示す事例証拠を提供しています (図 23 および 24 )。

2024年6月、ドイツの非営利調査報道機関であるCORRECTIVは、ランゲンにあるオフィスでaurologicのCEO、ジョセフ・ホフマン氏と面会し、Tnsecurity LtdおよびAezaの影響圏内の他の企業からのデータトラフィックがaurologicのインフラストラクチャを通過し、世界中のインターネットプロバイダーへの接続を活用してドッペルゲンガーの偽情報キャンペーンを支援していたというQuriumの調査結果について話し合いました。ホフマン氏は、自分の顧客がこのキャンペーンを支持していることは知らなかったと主張したが、自分の組織につながる偽のニュース記事へのリンクを見せられたときは驚いた様子だった。彼は、これは決定的な証拠にはならないと主張し、当局からの正式な連絡があって初めて行動が促されると主張した。ホフマン氏は自身の状況をビジネス上のジレンマと表現し、「全員を追い出すことはできるが、そうするといずれ売上が上がらなくなる」と述べ、それが法執行機関からの連絡を待つ理由だと語った。

aurologic が複数の TAE と継続的に関係を築いていることで、過失の許容範囲が広がります。米国と英国の制裁にもかかわらず、Aeza International Ltd の上流輸送を継続的に提供するという同社の役割は、リスク回避よりも法令遵守に重点を置いた対応的な姿勢を示唆している。aurologic はドイツの管轄下で運営されているため、国内法に違反していない可能性があります。2025年7月1日、ジョセフ・ホフマンは「jh_aurologic」というユーザー名で、LowEndTalkフォーラム（図25 ）で同社の立場を公に擁護し、調査対象の顧客はAeza Group LLCではないと主張しました。本稿執筆時点では、aurologic は Aeza Group LLC (AS216246) のアップストリーム プロバイダーではありませんが、Aeza International Ltd (AS210644) の主要なアップストリーム プロバイダーのままです。

不正なダウンストリームプロバイダーが、無名または海外の を活用し、プレフィックスを循環させ、新しい LIR を確立することで、容易かつ迅速にブランドを変更するため、監視ポリシーと寛容ポリシーの区別はさらに曖昧になります。 このパターンは、Spamhaus によって文書化されたケースで例示されており、そのケースでは、現在は廃止された TAE ネットワークがすべてデコイ ISP の層の背後で動作し、最終的に aurologic を経由してルーティングされていたことが詳細に説明されています (図 26 を参照)。

2025年4月7日、Spamhausは再びaurologicを引用し、接続49.3 Networking LLC（AS399979）の提供に関連して、同社を「防弾ホスティングの普及のかなりの歴史」を持つISPであると説明しました。ホフマン氏はこの見解に公然と異議を唱え、同社には「防弾ホスティングの大きな実績はない」とし、従業員は不正使用の報告を受けた際には「適用法に従って対応する」と主張した（図27参照）。同じスレッドで、ホフマン氏はセキュリティ研究者「Gi7w0rm」氏と、創設者の逮捕や悪意ある活動が続いているにもかかわらず、AurologicがAezaへのサービスを継続していることについて、より広範な議論を行った。ホフマン氏は、オーロロジックのネットワーク全体で起きている活動に対して中立性を維持するという自身の幅広い立場を概説し、中立性を「公平であることの芸術」と表現した。この立場は、中立性の名の下に意図的な不干渉のより広範な姿勢を示唆しており、実際には、aurologic のインフラストラクチャの下で高リスクで不正なネットワークが存続していることを説明できます。

影響を受けた被害者やネットワーク防御者の観点から見ると、脅威アクターが自由に活動できる場合、過失と共謀の違いは意味をなさないことがよくあります。 aurologic のようなトランジット プロバイダーが、リソースの制約、ビジネス上の許容範囲、または課せられた法的制限のいずれの理由であっても、繰り返される不正使用を定期的に調査しない場合、影響は同じです。つまり、悪意のあるインフラストラクチャが世界中にアクセス可能なままになります。現在の EU およびドイツの法律では、交通機関プロバイダーは、違法な使用を実際に知っている場合を除き、顧客の活動を積極的に監視または取り締まる義務は通常ありません。

aurologic は、直接的なトラフィック検査などの措置を回避する多くの理由の 1 つとして、厳格なドイツのデータ保護義務を示唆しています。それは正当な懸念ではあるが、その姿勢に過度に依存すると、運営上の自己満足が隠れてしまう可能性がある。この姿勢は同社の利用規約にも反映されており、EUのデジタルサービス法（DSA）を明示的に援用し、同社がその存在を認識していない、または「違法な使用を積極的に支援していない」限り、「顧客がリースしたインフラストラクチャ上で保存、処理、または転送された」コンテンツに対する責任を否認している。不正使用の報告は検証され、顧客に転送され、24 時間以内に解決されない場合、影響を受ける IP アドレスの null ルーティングが発生する可能性があります。「より高いリスクを伴う稀なケース」においてのみ、泌尿器科医師は積極的な措置を講じる権利を留保します。

同社の公開不正使用処理および権限要求ポリシーは、同様の対応モデルに従っています。すべての苦情は、指定された電子メール チャネル ( abuse@aurologic[.]com ) 経由で提出する必要があり、完全な証拠記録を含める必要があります。無効または不完全な送信は自動的に破棄されます。これらの手順は、aurologic の運用構造がDigitale-Dienste-Gesetz (DDG) および DSA によって確立された、反応的で通知ベースのコンプライアンス体制とどのように整合しているかを示しています。会社の義務は、不正使用の有効な通知を受け取った時点で開始され、その執行オプションは手続きと管轄の制限によってさらに制限されます。このフレームワークは、プロバイダーが介入できる範囲を定義するだけでなく、効果的に制限し、継続的な虐待の最中でも不作為が法的に正当化される環境を作り出します。この意味で、aurologic の不正行為への対応は、積極的なセキュリティ管理よりも法的防御力を優先する傾向にある、より広範なヨーロッパの仲介者責任モデルの産物とみなすことができます。

実際には、これは、aurologic のようなプロバイダーは、そのネットワークが脅威アクターによって繰り返し利用された場合でも、意図を認識していなかったと主張できる限り、国内法に準拠し続けることを意味します。 この法的枠組みにより、トランジットおよびホスティングプロバイダーは、サービスの下流での不正使用に対する責任を事実上免除され、悪意のあるインフラストラクチャが否認可能な範囲内で運用されている限り存続することが可能になります。

上流プロバイダーが単に過失があるだけなのか、それとも故意に共謀しているのかという不確実性は、インフラストラクチャの悪用と闘う上での中心的な課題を浮き彫りにしています。大手交通機関プロバイダーは、契約遵守と法的義務を理由に自社の慣行を擁護することが多いが、この狭い枠組みでは、高リスクのネットワークが妨げられることなく運営される余地が十分に残されている。サイバーセキュリティ コミュニティ、規制当局、政策立案者にとって、問題は、過失や寛容さが影響しているかどうかだけではなく、ルーティングの決定によって、偽情報、サイバー犯罪、マルウェアの配布に関与する脅威が繰り返し維持された場合に、どのように説明責任を課すかということです。

軽減策

• Recorded Future Threat Intelligenceの使用: Recorded Futureお客様は、 Recorded Future Intelligence Cloudデータを運用化することで、このレポートで説明されているような悪意のあるネットワークから発生する脅威を積極的に緩和できます。 これは、継続的に更新されるリスク リストを活用し、検証された悪意のある IP アドレスをブロックリストに登録して、悪意のあるインフラストラクチャとの内部通信を防止することによって実現できます。
• 堅牢なネットワーク セキュリティ制御を実装します。 境界セキュリティアプライアンスと内部ネットワーク防御を設定して、このレポートで特定されたASNから発信されるトラフィックをブロックします(そのようなトラフィックを許可するビジネス上の正当な理由が明確に定義されていない限り)。

今後の展望

Insikt Group は、aurologic が TAE ネットワークの中心ハブであり続ける可能性が高いと確信を持って評価しています。下流の顧客に対する世論の圧力と国際的な制裁が高まっているにもかかわらず、aurologic は法的義務の範囲内で事業を継続し、Recorded Future Network Intelligence 内で観測された悪意のある活動が最も集中する上流の接続を提供しています。これは、調整された規制執行の欠如と相まって、そのインフラストラクチャの下で高リスクネットワークが存続できる状況が変化する可能性が低いことを示唆しています。

これらのネットワークの中で aurologic が引き続き目立つ理由を正確に確認することはできませんが、複数の国際制裁にもかかわらず同社が Aeza を公然と擁護し、同社に継続的にサービスを提供していること、また同社が Aeza のネットワーク上の活動に対して中立の立場を公に表明していることから、TAE の間で信頼できる上流プロバイダーとしての同社の評判が強化されたと考えられます。

このケースは、ホスティング エコシステム内で現在直面しているより大きな疑問も反映しています。つまり、組織的な虐待に対して中立的態度をとったり、継続的に何もしないことが、どの時点で共謀と区別がつかなくなるのかということです。トランジット プロバイダーが、悪意のあるアクティビティに繰り返し関連付けられるネットワークにサービスを提供し続けながら法令遵守を維持できる限り、介入の責任は、たとえその顧客が不正行為の情報源であっても、顧客に負わされます。 コンプライアンス、説明責任、および積極的な監視におけるこれらのギャップが解決されるまで、TAE は繁栄し続けるでしょう。

付録A: 泌尿器科学に関連するアクティブネットワーク

付録B: DDoSia Tier 1 IPアドレス空間をアナウンスしている上位15のAS

（出典：Recorded Future）

付録C: トルコのローカルインターネットレジストリMGN Teknoloji Anonim Sirketiをメンテナーリファレンスとしてリストしている組織

（情報源：RIPE）