「先制的サイバー攻撃」という説得力のある物語として始まったものは、はるかに平凡な結末を迎えた。Cloudflareは、ベネズエラのネットワーク内で起きた混乱は、秘密作戦ではなく、単なるデジタル上の不注意の結果である可能性が高いとしている。
この議論のきっかけとなったのは、レッドチームエンジニアのグラハム・ヘルトンによる分析だった。彼は、軍事行動に先立って米国がカラカスの灯りを消すために「特定の能力」を投入したというドナルド・トランプの主張に加え、統合参謀本部議長ダン・ケイン大将による米サイバー軍の関与に関する発言にも注目した。ヘルトンはデジタル上の痕跡を求めてインフラ記録を精査し、Cloudflare Radarを掘り下げてトラフィックの異常を特定しようとした。
彼の調査は、国営プロバイダーCANTVの自律システムであるAS8048に焦点を当てた。彼は1月2日—軍事作戦の前日—に、特定のネットワークプレフィックスが、イタリアのトランジット事業者SparkleとコロンビアのGlobeNetを含む不規則な経路を通って突然迂回させられたことを観測した。これをRIPE NCCのデータと突き合わせることで、ヘルトンは、このようなルーティングが理論上は中間者(MITM)攻撃を可能にし、トラフィックの密かな傍受や監視を行える可能性があると推測した。
今週、Cloudflareはこの一件を詳細に分解して検証した。同社のプリンシパル・ネットワーク・エンジニアであるブライトン・ハーデスは、ヘルトンの主要な観測—BGPのルートリークが実際に発生していた—ことを裏付けた。この現象は、ネットワーク参加者が誤って不正確なルーティング情報を近隣に広めてしまい、トラフィックが遠回りで遅く不安定な経路を通るようになる状況に似ている。しかしCloudflareの結論は悪意の物語とは異なる。BGPリークは常に起きており、通常は攻撃的な作戦ではなく、日常的な設定ミスから生じるものだ。
ハーデスは、観測されたパターンがMITM作戦に不向きである理由を具体的に説明した。リークによって「より悪い」経路が選ばれていた一方で、巧妙な侵入者であればその逆、すなわちトラフィックを誘い込むために最も「効率的」な経路に見せかけようとするはずだ。さらに、影響を受けたプレフィックスはDayco Telecom(AS21980)のものであり、CANTV(AS8048)はすでにその正当なプロバイダーとして機能している。したがってCANTVは法的にすでに「経路上」に存在しており、芝居がかったルーティングの欺瞞は不要だった。
Cloudflareは、最もあり得る説明として、CANTVが上位回線の一つに対して過度に広範なルートエクスポート方針を適用していた可能性を挙げている。同社はまた、この地域ではこうしたリークが一般的であり、AS8048はここ数週間で同様の事案を多数経験しているとも指摘した。こうした事象を緩和するため、ハーデスはRFC 9234に示されるものを含む、より厳格なルート検証メカニズムと、RPKIエコシステムの継続的な成熟を提唱した。
最終的な要点は、公開指標が米国の作戦前にネットワーク異常を確かに示している一方で、Cloudflareは意図的な攻撃を示す説得力のある証拠は見当たらないと捉えていることだ。カラカスの灯りがどのような手段で消されたのかは依然として秘密のベールに包まれているが、デジタル領域における主犯として浮かび上がるのは、気まぐれでしばしば誤設定されるBGPプロトコルであるようだ。
翻訳元: https://meterpreter.org/mundane-or-malicious-cloudflare-debunks-cyber-strike-theory-in-venezuela/
