米司法省(DoJ)は、国際的な法執行機関および民間企業との連携により、300万台以上のIoTデバイスを感染させ、史上最大規模の分散型サービス拒否(DDoS)攻撃に関与した複数のボットネットのコマンド&コントロール(C2)インフラを破壊したと発表しました。この作戦は、AISURU、Kimwolf、JackSkid、Mossadといったボットネットが引き起こした、記録的な31.4テラビット/秒(Tbps)に達するDDoS攻撃の脅威からインターネットインフラを守るための重要な一歩となります。
今回の作戦は、単なるサイバー犯罪組織の摘発に留まらず、IoTデバイスの脆弱性を悪用した新たな攻撃手法の台頭と、それに対する国際的な協力体制の重要性を浮き彫りにしています。特に、一般家庭のルーターやスマートデバイスが知らぬ間に攻撃の踏み台にされる実態は、私たちユーザー一人ひとりのセキュリティ意識の向上を強く促すものです。
史上最大規模のDDoS攻撃を支えたIoTボットネットの全貌
今回の作戦で標的となったのは、AISURU、Kimwolf、JackSkid、Mossadという4つの主要なIoTボットネットです。これらのボットネットは、世界中の300万台以上のデバイスを感染させ、DDoS攻撃の実行に利用されていました。感染デバイスの多くは、オフブランドのAndroid TV、デジタルビデオレコーダー、ウェブカメラ、Wi-Fiルーターなど、セキュリティ対策が不十分なIoTデバイスでした。
米司法省によると、これらのボットネットは、過去に記録されたDDoS攻撃の中でも最大級の規模を誇り、一部の攻撃では約30 Tbpsに達したとされています。特にCloudflareの報告では、2025年11月に発生したAISURU/KimwolfによるDDoS攻撃は、わずか35秒間で31.4 Tbpsという驚異的なトラフィックを生成しました。また、平均で30億パケット/秒(Bpps)、4 Tbps、5400万リクエスト/秒(Mrps)というハイパーボリュームDDoS攻撃も確認されており、その破壊力の大きさがうかがえます。
国際協力による壊滅作戦の詳細
今回の作戦は、米司法省が主導し、カナダおよびドイツの法執行機関が連携して実施されました。さらに、Akamai、Amazon Web Services(AWS)、Cloudflare、DigitalOcean、Google、Lumen、Nokia、Okta、Oracle、PayPal、SpyCloud、Synthient、Team Cymru、Unit 221B、QiAnXin XLabといった多数の民間企業が捜査に協力しました。このような官民一体となった国際的な取り組みは、国境を越えるサイバー犯罪に対抗するために不可欠であり、今後のサイバーセキュリティ対策のモデルケースとなるでしょう。
捜査の過程では、Kimwolfの管理者とされるカナダの23歳男性Jacob Butler(別名Dort)が特定されましたが、本人は関与を否定しています。また、もう一人の主要容疑者としてドイツ在住の15歳少年が浮上していますが、現時点では逮捕者は発表されていません。
「サイバー犯罪サービス」としてのボットネット運用と巧妙な侵入経路
今回のボットネットは、単にDDoS攻撃を実行するだけでなく、「サイバー犯罪サービス(CaaS)」モデルを採用していた点が特徴です。これは、感染させたデバイスへのアクセス権を他のサイバー犯罪者に販売し、収益を得るビジネスモデルであり、サイバー犯罪のエコシステムが高度化していることを示しています。これにより、DDoS攻撃の実行が容易になり、より多くの攻撃者が参入するリスクが高まります。
特にKimwolfとJackSkidは、従来のボットネットとは異なる、より巧妙な侵入経路を悪用していました。AWSのTom Scholl氏がLinkedInで述べたように、Kimwolfは「住宅用プロキシネットワーク」という新しい攻撃ベクトルを悪用しました。これは、オープンなインターネット上で脆弱なデバイスをスキャンするのではなく、ストリーミングTVボックスやその他のIoTデバイスを介してホームネットワークに侵入し、通常はホームルーターによって外部の脅威から保護されているローカルネットワークへのアクセスを獲得するというものです。
Miraiボットネットの進化と亜種
これらのボットネットは、悪名高いMiraiボットネットの亜種とされています。Miraiは、デフォルトの認証情報や既知の脆弱性を悪用してIoTデバイスを感染させ、大規模なDDoS攻撃を実行することで知られています。今回のAISURU、Kimwolf、JackSkid、Mossadも、その基本的な仕組みを受け継ぎつつ、より高度な侵入手法や運用モデルを取り入れることで、その脅威を増大させていました。
- AISURU: 20万回以上のDDoS攻撃コマンドを発行。
- Kimwolf: 2万5千回以上のDDoS攻撃コマンドを発行。
- JackSkid: 9万回以上のDDoS攻撃コマンドを発行。
- Mossad: 1千回以上のDDoS攻撃コマンドを発行。
これらの数字は、各ボットネットがどれほどの頻度で攻撃を仕掛けていたかを示しており、その活動の活発さがうかがえます。
DDoS攻撃がもたらす深刻な影響と対策の重要性
DDoS攻撃は、標的となるサーバーやネットワークに大量のトラフィックを送りつけることで、サービスを停止させたり、通信速度を著しく低下させたりするサイバー攻撃です。今回のボットネットによる攻撃は、その規模からインターネットインフラ全体に深刻な影響を及ぼす可能性がありました。
Akamaiは、これらのハイパーボリュームボットネットが30 Tbps、140億パケット/秒、3億Mrpsを超える攻撃を生成し、中には恐喝目的で金銭を要求するケースもあったと報告しています。このような攻撃は、基幹インターネットインフラを麻痺させ、ISP(インターネットサービスプロバイダ)とその顧客に重大なサービス劣化を引き起こし、さらには高容量のクラウドベースの緩和サービスをも圧倒する可能性があります。
ユーザーが取るべき自衛策と今後の展望
今回の事件は、私たち一人ひとりが使用するIoTデバイスのセキュリティ意識を高めることの重要性を改めて示しています。特に、以下のような対策は必須と言えるでしょう。
- デフォルトパスワードの変更: IoTデバイスの初期設定パスワードは必ず変更し、複雑で推測されにくいパスワードを設定する。
- ファームウェアの定期的な更新: メーカーから提供されるファームウェアの更新は、既知の脆弱性を修正するために不可欠です。常に最新の状態に保つようにしましょう。
- 不要な機能の無効化: 使用しないポートやサービスは無効にし、攻撃対象を減らす。
- 信頼できるメーカーの製品を選ぶ: セキュリティ対策に力を入れているメーカーの製品を選ぶことも重要です。
- ネットワークの分離: 重要なデバイスとIoTデバイスを異なるネットワークに分離することも有効な対策です。
このような大規模なサイバー攻撃に対抗するためには、国際的な法執行機関と民間企業の連携が不可欠です。今回の作戦は、その有効性を示す好例であり、今後もこのような協力体制が強化されることが期待されます。また、AI技術の進化に伴い、サイバー攻撃の手法も高度化していくことが予想されるため、常に最新の脅威情報を把握し、適切な対策を講じ続ける必要があります。
今回の事件は、IoTデバイスの普及が進む現代において、サイバーセキュリティが単なるIT部門の問題ではなく、社会全体で取り組むべき喫緊の課題であることを改めて浮き彫りにしました。特に、自宅のネットワークに接続されているスマート家電や監視カメラなどが、知らぬ間にサイバー犯罪の片棒を担ぐことのないよう、ユーザー一人ひとりの意識と行動が求められます。