Cloudflareは木曜日、これまでで最大の分散型サービス拒否(DDoS)攻撃を自律的にブロックしたと発表しました。この攻撃はピークで7.3テラビット毎秒(Tbps)に達しました。
この攻撃は2025年5月中旬に検出され、匿名のホスティングプロバイダーを標的にしました。
“ホスティングプロバイダーや重要なインターネットインフラストラクチャは、ますますDDoS攻撃の標的となっています。”とCloudflareのOmer Yoachimikは述べました。”7.3 Tbpsの攻撃は45秒で37.4テラバイトを配信しました。”
今年1月初め、ウェブインフラストラクチャとセキュリティの会社は、東アジアの匿名のインターネットサービスプロバイダー(ISP)を狙った5.6 TbpsのDDoS攻撃を緩和したと発表しました。この攻撃は2024年10月にMiraiの変種ボットネットから発信されました。
その後、2025年4月にCloudflareは、約30,000台のウェブカメラとビデオレコーダーで構成されたボットネットEleven11botから発信されたと思われる大規模な6.5 Tbpsの洪水に対して防御したと明らかにしました。この超大容量の攻撃は約49秒間続きました。
7.3 TbpsのDDoS攻撃は、比較すると、ホスティングプロバイダーが所有し使用している単一のIPアドレスの平均21,925の宛先ポートを絨毯爆撃し、1秒あたり34,517の宛先ポートのピークに達しました。
この多重ベクトル攻撃は、類似の送信元ポートの分布から発信され、UDPフラッド、QOTD反射攻撃、エコー反射攻撃、NTP反射攻撃、Mirai UDPフラッド攻撃、ポートマップフラッド、およびRIPv1増幅攻撃の組み合わせとして特定されました。UDPフラッドは攻撃トラフィックの99.996%を占めました。
Cloudflareはまた、この攻撃が161か国にわたる5,433の自律システム(AS)を超える122,145以上の送信元IPアドレスから発信されたと指摘しました。攻撃トラフィックの主な発信源には、ブラジル、ベトナム、台湾、中国、インドネシア、ウクライナ、エクアドル、タイ、アメリカ合衆国、サウジアラビアが含まれていました。
“1秒あたりのユニークな送信元IPアドレスの平均数は26,855で、ピーク時には45,097に達しました。”とYoachimikは述べました。
“Telefonica Brazil(AS27699)はDDoS攻撃トラフィックの最大部分を占め、全体の10.5%を占めました。Viettel Group(AS7552)は9.8%でそれに続き、中国ユニコム(AS4837)と中華電信(AS3462)はそれぞれ3.9%と2.9%を貢献しました。中国電信(AS4134)はトラフィックの2.8%を占めました。”
この開示は、QiAnXin XLabチームが、RapperBotとして追跡されているDDoSボットネットが2025年2月に人工知能(AI)会社DeepSeekを狙った攻撃の背後にあったと述べた際に行われました。また、最新のマルウェアサンプルが、将来的にDDoS攻撃の標的にならないようにするために「保護費」を支払うよう被害者に脅迫していることも明らかにしました。
中国、アメリカ、イスラエル、メキシコ、イギリス、ギリシャ、イラン、オーストラリア、マレーシア、タイは、RapperBotに感染したデバイスが存在する主な国です。このボットネットは2022年から活動していることが知られています。
RapperBotキャンペーンは、初期アクセスを得るためにデフォルトの弱いパスワードやファームウェアの脆弱性を持つルーター、ネットワーク接続ストレージデバイス、ビデオレコーダーを標的にし、DDoS攻撃コマンドを取得するためにDNS TXTレコードを介してリモートサーバーと接触を確立できるマルウェアをドロップします。
このマルウェアはまた、TXTレコードやコマンド・アンド・コントロール(C2)ドメイン名を暗号化するためにカスタム暗号化アルゴリズムを使用しています。
“3月以来、その攻撃行動は著しく活発で、1日あたり平均100以上の攻撃ターゲットがあり、50,000以上のボットが観測されています。”と中国のセキュリティベンダーは述べました。
“RapperBotの攻撃ターゲットは、公共管理、社会保障および社会組織、インターネットプラットフォーム、製造業、金融サービスなど、さまざまな業界の分野に広がっています。”
翻訳元: https://thehackernews.com/2025/06/massive-73-tbps-ddos-attack-delivers.html