オランダ金融犯罪捜査局(FIOD)は2026年5月22日、ロシア・ベラルーシへのサイバー攻撃支援や偽情報拡散に関与したとされるウェブホスティング企業「Stark Industries」に関連するサーバー800台を押収し、同社ディレクター(57歳)と接続インフラを提供していた別会社の代表(39歳)の2名を逮捕したと発表した。
Stark Industriesとは何者か
Stark Industriesが設立されたのは2022年2月10日——ロシアによるウクライナ侵攻の直前だ。この時期の設立は偶然ではないとFIODは見ている。同社はその後EU制裁対象として認定され、2025年5月20日にEU制裁リストへ追加された。
制裁指定後、Stark Industriesのインフラは新たに設立されたオランダ企業「WorkTitans B.V.」へ移管され、「THE.Hosting」というブランド名でサービスを継続していたとされる。これはいわゆるペーパーカンパニーによる制裁回避の典型的な手口だ。
FIODはドロンテン、スキポール・ライク、エンスヘーデ、アルメールのデータセンターおよび関連施設に一斉捜索を実施。サーバー800台のほか、ノートPC、スマートフォン、業務記録なども押収した。
NoName057(16)との繋がり
デンマーク当局とインフラプロバイダーは、WorkTitansをロシア支持のハクティビスト集団「NoName057(16)」によるDDoS攻撃と結びつけているという。NoName057(16)は欧州各国の政府機関や重要インフラを標的にDDoS攻撃を繰り返してきた組織であり、その攻撃インフラの一部をこのオランダ拠点のホスティングが支えていた可能性が高い。
また、アルメールに拠点を置く「Mirhosting」が物理サーバーの運用とコロケーション提供、アムステルダムとフランクフルトの主要インターネット交換ポイントへの高帯域接続を担い、Starkのトラフィックの欧州入口として機能していたとされる。Mirhosting側は「不正利用の報告を受けたら迅速に対応しており、故意ではなかった」と否定しているが、捜査は継続中だ。
日本のIT現場への影響
ホスティング選定時のデューデリジェンス
今回の摘発が示す重要な教訓は、「自社のシステムはクリーンでも、接続先や上流インフラが制裁対象になりうる」というリスクだ。コスト重視で海外の格安ホスティングやVPS事業者を利用している場合、その運営主体がどの法人に属し、どの国の規制下にあるかの確認が欠かせない。
DDoS対策の多層防御
NoName057(16)のような組織は欧州インフラを踏み台に日本サービスを標的にするケースも増えている。Cloudflare Magic TransitやAzure DDoS Protection Standardといったアップストリームでの吸収対策に加え、ISPレベルのブラックホールルーティングを組み合わせた多層防御の整備が引き続き重要だ。
制裁リストの継続的モニタリング
EU制裁リストや米国OFAC制裁リストは随時更新される。自社が利用するサービスやパートナーが対象に含まれていないか自動確認するプロセスを持つことが、コンプライアンス上のリスクヘッジになる。大手パブリッククラウドの場合はプロバイダー側で対応しているケースが多いが、中小のニッチなサービスでは自社での確認が必要だ。
筆者の見解
今回の摘発は、ロシアが欧州の制度的な隙間を突いてきた典型的な事例だ。侵攻直前に設立し、制裁を受けたら名前を変えてオランダ企業として存続する——このパターンは今後も繰り返されるだろう。
一つ言えるのは、「今動いているから安全」という発想はもう通用しないということだ。インフラの透明性確認、制裁リストとの突合、DDoS対策の多層化——これらは「大規模攻撃を受けた後に慌てる話」ではなく、平時にやっておくべき話だ。
日本企業はソフトウェアのSBOM(ソフトウェア部品表)への注目は高まりつつあるが、ネットワークインフラの来歴確認はまだ手薄な組織が多い。「自社のトラフィックがどのASを経由しているか」まで可視化できている組織は限られている。ゼロトラストアーキテクチャの本質は「ネットワーク経路を無条件に信頼しない」ことにある。この考え方は認証・認可の話だけでなく、インフラ選定における透明性確保という観点でも、正しい方向を指し示している。
攻撃者が「制度をハックする」手口を洗練させている以上、防御側もインフラの来歴を問い続ける姿勢が求められる。
出典: この記事は Netherlands seizes 800 servers of hosting firm enabling cyberattacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。