Miraiから派生したボットネットAisuruが、オンラインゲーム大手を支えるネットワークを標的にし、感染したルーターを通じて29.6TbpsのDDoSトラフィックを送信しました。
新たに明らかになったIoTボットネットAisuruによる攻撃キャンペーンは、悪意のあるトラフィックの大規模な急増を引き起こし、約29.6TbpsのDDoSパケットによって主要なオンラインゲームプラットフォームが一時的に混乱しました。
セキュリティエンジニアが共有したログによると、このインシデントは2025年10月8日に数秒間だけ発生し、ボットネットの主な力は、AT&T、Comcast、Verizon、T-Mobile、Charterなど米国大手ISP傘下のホームルーター、IPカメラ、DVRといった侵害されたデバイスにありました。
「インターネット上の主要なゲームサイトをホスティングしているISPが、専門家が『現在インターネットに接続しているほとんどの組織のDDoS緩和能力をはるかに超えている』と語る巨大な攻撃の連打に見舞われています」と調査報道サイバーセキュリティジャーナリストのブライアン・クレブスはブログ記事で述べました。
クレブスは、最近のAisuru攻撃はMinecraftなどのオンラインゲームコミュニティ向けISPのみを標的にしていたものの、これらのDDoS攻撃はしばしば広範なインターネット障害を引き起こすと指摘しました。
ISPがボットネットの発射台に
分析によると、現在Aisuruのトラフィックの大部分は米国ISPネットワーク内から発生しています。最近の攻撃のログでは、上位20のトラフィック発生元のうち11がこれらのISPでした。多くの感染端末が米国の一般家庭ネットワーク上にあるため、ISPは外部からの攻撃防御だけでなく、発信トラフィックの急増にも対処しなければならなくなっていると、クレブスは付け加えました。
この変化により、ISPはDDoS被害者だけでなく、攻撃ノードとなった隣接デバイスによってパフォーマンスが低下する自社の非感染顧客のサービス品質維持にも取り組む必要があります。
クレブスは、世界中で5万以上のMinecraftサーバーにTCPShield DDoS保護を提供しているGlobal Secure Layer(GSL)の主任セキュリティエンジニア、スティーブン・ファーガソンの報告を引用し、「10月8日、TCPShieldは毎秒15テラビット以上の不要トラフィックで溢れかえった」と述べました。「攻撃が収束した後、TCPShieldは上流プロバイダーのOVHから『もう顧客として受け入れられない』と通告された」とクレブスは付け加えました。
注目すべきは、10月8日の急増が単発の出来事ではなかったことです。ファーガソンの以前のテレメトリでは、Aisuruが9月中旬にもすでに大規模な攻撃を開始しており、Minecraftサーバー、Steam、Riot Gamesなど人気オンラインゲームコミュニティを支えるネットワークを標的にした複数テラビット級の攻撃が確認されていました。
9月の攻撃は、その数週間後に続いた大規模な波の予行演習だった可能性があります。
Miraiからプロキシ販売へ
Aisuruは新しいものではありません。その基盤は2016年に流出したMirai IoTボットネットのコードに遡り、当時クレブスが運営する調査ブログ「KrebsOnSecurity」を4日間オフラインに追い込みました。「2016年の攻撃はあまりに大規模だったため、当時KrebsOnSecurityに無償でDDoS保護を提供していたAkamaiは、他の有料顧客に影響が出ているとして私にサービスから離れるよう求めました」とクレブスは当時語っていました。
今回は、Aisuruの運営者が自らの創作物を収益化・拡大しているようです。ボットネットは現在、DDoSエンジンとしてだけでなく、住宅用プロキシネットワークとしても機能していると考えられています。これらのプロキシを使うことで、サイバー犯罪者は「正規の」米国家庭用デバイスを経由して攻撃を行い、悪意のあるトラフィックの発信元を隠蔽できます。クレブスはまた、2025年4月にTotolinkのファームウェアサーバーで発生したとされる侵害など、ルーターファームウェア配布インフラの侵害がAisuruへのデバイス登録を加速させた可能性があるとするセキュリティ研究者の見解も引用しています。2025年8月にライバルボットネット(Rapper Bot)が摘発されたタイミングも、Aisuruが放棄された感染デバイスを吸収し、成長を加速させる要因となった可能性があります。
