1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. マルウェア概説:新たに出現したボットネット群がDDoS攻撃の混乱を拡大

Info.

お知らせ

海外ブログ

マルウェア概説:新たに出現したボットネット群がDDoS攻撃の混乱を拡大

マルウェア概説:新たに出現したボットネット群がDDoS攻撃の混乱を拡大 のページ写真 1

2026年1月29日、Tony Burgess

絶え間ないDDoS攻撃の新時代をボットネットがどのように加速させているのか

主なポイント

  • Kimwolf、Aisuru、Mirai(およびその亜種)という3つの主要なボットネットが、高度に自動化されたDDoS攻撃を急増させています。
  • 攻撃者は、Kimwolfキャンペーンでの非正規のAndroid TVストリーミングボックスを含む、セキュリティが不十分なIoTデバイスや家庭用デバイスをますます悪用しています。
  • ボットネットは、適応型の攻撃パターン、大規模な悪用パイプライン、検知を回避する通信メカニズムを利用しています。
  • 根本的な問題は、脆弱な初期設定、古いファームウェア、一貫性のないセキュリティ慣行を持つデバイスが世界的なサプライチェーンを通じて流通していることにあります。

ボットネットのエコシステムは、セキュリティが不十分な家庭向け/小規模オフィス向けハードウェアが大量に出回っていることによって後押しされ、急速に進化し続けています。ルーターやWebカメラから非正規のAndroid TVストリーミングデバイスに至るまで、多くの場合、未検証のアプリや隠されたリモートアクセス機能を搭載したまま出荷され、持続的なDDoS攻撃活動を支える世界的な基盤の一部となっています。

今日の環境で最も支配的な3つの脅威を以下に紹介します。

Kimwolf:企業や政府のネットワークに侵入するステルス型ボットネット

種類: ボットネット、DDoS

マルウェア:Kimwolf

拡散経路: 侵害されたIoTデバイス、家庭用機器、非正規のAndroidストリーミングボックス

攻撃ベクトル: 家庭向け/小規模オフィス向けテクノロジーにおけるサプライチェーンの弱点

標的: 企業、政府、自治体ネットワーク

活動開始: 2025年

Kimwolfボットネットは、企業、政府、自治体の環境内に気づかれることなく組み込まれ、定着しています。Krebs on Securityには、「Kimwolfは、企業レベルの脅威を想定して堅牢化されていない、日常的に使用されるオフィス機器や家庭用ルーターに潜入している」と報告されています。

追加の報告によると、Kimwolfは検知を逃れるため、動的に切り替わるステルス型通信チャネルを使用しています。

Kimwolfの拡散で注目すべき攻撃ベクトルは、非正規またはクローン化されたAndroid TVデバイスです。これらのデバイスは、マルウェアやセキュリティが不十分なリモートアクセスコンポーネントが仕込まれた状態で出荷されることがあります。家庭や小規模オフィスのネットワークに接続されると、リモートシェルや管理インターフェイスが露出し、容易に悪用可能になります。

企業ネットワーク内では、侵害されたデバイスが持続的な足がかりとして機能し、ラテラルムーブメントを通じて、内部インフラが不本意な形で大規模DDoSキャンペーンに加担させられます。

Aisuru:世界的なDDoS記録を打ち立てた先行ボットネット

タイプ: ボットネット、DDoS

マルウェア: Aisuru

拡散経路: 脆弱なIoTデバイスの自動スキャンと悪用

攻撃ベクトル: 脆弱な認証、古いファームウェア、サプライチェーン段階で組み込まれた脆弱な初期設定

標的:全世界の消費者/企業ネットワーク

活動開始: 2024年

Kimwolfに先立ち、自動化されたIoTデバイス悪用の破壊力を浮き彫りにしたのがAisuruです。Cybersecurity Diveによると、Aisuruは過去最大級の複数のDDoS攻撃を引き起こし、「トラフィックがそれまでに世界全体で観測されたピーク値を大幅に上回った」キャンペーンも含まれています。

Aisuruは、予測可能なデバイスモデル(多くの場合、古いファームウェアを搭載した低価格のIoTハードウェア)を迅速に侵害し、数時間以内に数千台のデバイスを感染させます。侵害されたノード群は、大規模なボリューム型フラッド攻撃を生成し、攻撃ベクトルを動的に切り替えつつ、世界規模の緩和システムを圧倒します。

代表的なあるキャンペーンでは、複数のサービスプロバイダーが同時に標的となり、防御側が緩和を試みるたびに負荷をリアルタイムで切り替えていました。Cloudflareの2025年第3四半期脅威分析は、DDoSの規模と高度化におけるこの広範な拡大と高度化について考察を提供しています。

Miraiおよび新世代のIoTボットネット亜種

種類: ボットネット、DDoS

マルウェア: Miraiおよび最近の亜種(Satori, Moziの残存系統、Katanaなど)

拡散経路: セキュリティが不十分なIoTデバイスの自動悪用

攻撃ベクトル: デフォルトの認証情報、パッチ未適用のファームウェア、公開されたサービス(Telnet/SSH/HTTP API)

標的: ISP、ホスティングプロバイダー、ゲームプラットフォーム、企業エッジネットワーク

活動開始: 2016年(主要な亜種は2025年まで活動)

Miraiは、登場から10年近く経った現在も、インターネット上で最も持続性が高く、広く適応されているボットネットファミリーの一つです。その理由は、セキュリティが不十分なIoTデバイスが大量に供給され、更新され続けている点にあります。ルーター、DVR、スマートカメラ、低価格の家電製品など、古いファームウェアや推測可能な認証情報を含んだ状態で出荷されるデバイスが後を絶ちません。

Miraiの最近の亜種は、元のオープンソース版をはるかに超えて進化しています。KatanaやSatoriなどの新たに出現している派生系には、以下のような機能が含まれています。

  • IoTデバイスに存在する数十件の脆弱性を同時に狙う大規模なエクスプロイトライブラリ
  • 1時間に数千台のデバイスの侵害が可能な高速拡散エンジン
  • ドメインフラクシングや暗号化コマンドチャネルなどの回避的なコマンド&コントロール手法
  • 攻撃者が新しいエクスプロイトを迅速に配布できるようにする自己更新モジュール

研究者によれば、Miraiに感染した多くのデバイスはファームウェアのライフサイクル管理が不十分であり、パッチ適用がほとんど行われないため、脆弱なノードが長期にわたり存続し、持続的なDDoS攻撃を支えているとのことです。

総括

Kimwolf、Aisuru、Miraiのようなボットネットの増加は、家庭用デバイスやIoTデバイスのグローバルなサプライチェーンがDDoS攻撃活動の主要な戦場となっているという、重大な事実を浮き彫りにしています。

攻撃者は、セキュリティが不十分なハードウェアの尽きることのない供給から利益を得ています。

  • 予測可能な構成を持つ安価なIoTデバイス
  • 管理インターフェイスが露出した家庭用機器
  • ファームウェアの更新をほとんど受け取らないデバイス
  • 初期設定が脆弱でテストが不十分なベンダーエコシステム

防御側に求められる対応は明確です。小型で、安価で、「一般家庭向け」とされるものを含め、ネットワークに接続されるデバイスすべてを、ボットネット運営者にとっての侵入の起点となり得るものとして扱う必要があります。

参考情報:

Barracuda Application Protection – Barracuda バラクーダネットワークス

原文はこちら:
Malware Brief: New wave of botnets driving DDoS chaos
Jan. 29, 2026 Tony Burgess
https://blog.barracuda.com/2026/01/29/malware-brief-new-wave-botnets-ddos-chaos

Related posts