Lumenは1,500台規模のJDYネットワークを中国支援の脅威アクターと関連付け、脆弱性公開後に露出した企業システムを迅速にマッピングし、パッチ適用スケジュールを圧迫し、IPベースの防御を弱体化させると警告しています。
侵害されたスモールオフィス機器やIoTデバイスで構成されるボットネットが、脆弱性の公開後にインターネットに露出した脆弱なシステムを迅速に特定できる、より大規模な偵察ネットワークへと成長していることが、研究者らによって明らかになりました。
このボットネットは、LumenのBlack Lotus LabsがJDYとして追跡しており、現在1,500台以上の侵害されたSOHO(スモールオフィス・ホームオフィス)機器およびIoTデバイスで構成されています。「大規模に露出したサービスを発見、フィンガープリント、継続的にマッピングする」ために使用されています。
Lumenによると、この活動はVolt Typhoonを含む中国の国家支援型脅威アクターと関連しているとのことです。この調査結果は、企業セキュリティチームにとって増大する課題を示しています。多くの企業エッジシステムは従来のエンドポイント監視の対象外にあるため、攻撃者は脆弱性の開示から標的型偵察へと迅速に移行できる余地が生じています。
Lumenはさらに、JDYの分散インフラにより、オペレーターはジオフェンシングやその他のIPベースの防御を回避できると指摘しています。活動が正規の一般家庭や中小企業のインターネットトラフィックに見える可能性があるためです。
JDYは、多くの企業がいまだに依存しているいくつかの防御上の前提を崩しています。これはIDCアジア太平洋地域サイバーセキュリティサービス担当シニアリサーチマネージャーのSakshi Grover氏の見解です。
Grover氏は、ジオフェンシングとIPレピュテーションによる制御は単独で使用した場合の効果が限られており、静的なブロックリストは侵害インフラを継続的にローテーションするボットネットに対して構造的に脆弱だと述べています。またJDYは、エッジデバイスに関するより広範な可視性のギャップを浮き彫りにしています。エッジデバイスは、エンドポイントやクラウドワークロードと同レベルの厳密さで監視することが企業にとって難しい場合が多いためです。
偵察活動、攻撃フェーズへの接近
アナリストらは、CISOはJDYを単なるボットネットの一つとして軽視すべきではないと述べています。
「報告されているJDYの活動は、脆弱性の公開直後を含め、大規模に露出したサービスを発見、フィンガープリント、継続的にマッピングすることへの明確な注力を示しています」とGrover氏は言います。「これは、侵害されたエッジデバイスが単なる混乱やありふれた悪用のためではなく、後続の作戦に向けたタイムリーな標的情報を生成するために利用される、より産業化された悪用前偵察モデルを示しています。」
これは、侵害されたSOHOおよびIoTデバイスが最終的な標的ではない可能性を意味しています。むしろ、ルーター、ファイアウォール、VPN、カメラなど、インターネットに露出した企業インフラを特定するためのスキャン層として機能しているのです。
サイバーセキュリティ研究者のDevashri Datta氏は、CISOはJDYを偵察がどのように実用化されているかの変化を示す証拠として捉えるべきだと述べています。
「JDYが御社のリスク登録簿で『通常のボットネット管理』として扱われているなら、防御のプレイブックは始まる前に失敗します」とDatta氏は言います。「JDYはDDoS攻撃、認証情報の窃取、仮想通貨マイニングを目的として設計されたものではありません。中央集権的に制御された、高性能なスキャンエンジンなのです。」
パッチ適用スケジュールへの圧力
このスキャン活動はまた、従来の脆弱性管理のスケジュールが、インターネットに露出した境界システムに対してまだ機能するかどうかという疑問も提起しています。
「従来のSLA主導のパッチ適用は、境界デバイスに対してはもはや正当化できません」とDatta氏は述べています。
ボットネットの規模よりも、標的設定サイクルのスピードの方が重要です。これはGreyhound ResearchのチーフアナリストであるSanchit Vir Gogia氏の見解です。「数時間以内に適切な脆弱なシステムを発見できる1,500台のデバイスは、ノイズを生み出すだけの10万台よりも価値があります」とGogia氏は言います。「悪用はもはや悪意あるコードが到着したときに始まるのではありません。露出が発見されたときに始まるのです。」
懸念されるのは、新たな脆弱性が公開される前に、JDYが攻撃者に必要な情報の多くをすでに収集している可能性があることです。Datta氏は、このボットネットの偵察活動にはIPアドレス、ポート設定、プロトコル情報、サービスバナー、TLSバージョン、証明書メタデータ、関連ドメインが含まれる可能性があると述べています。
これにより、重大な脆弱性が公開された際に、オペレーターは有利な先行情報を得ることができます。Lumenによると、Black Lotus Labsは、CVE-2026-35616の開示直後にFortinetデバイスへのスキャンが選択的に増加したことを観測しており、パッチが広く適用される前に脆弱なデバイスを特定する能力と意図があることが示されています。
CISOへの対応策としてDatta氏は、境界デバイス用の事前承認済みプレイブックが必要だと述べています。その内容には、パッチ適用の迅速化、アクセス制御リストの変更、露出した機能の一時的な無効化、管理インターフェースのロックダウンが含まれます。
