Aisuruは、今年記録的な分散型サービス拒否(DDoS)攻撃を繰り返してきたボットネットですが、最近、より目立たず収益性が高く持続可能なビジネスへと刷新されました。それは、数十万台の感染したIoT(モノのインターネット)デバイスを、サイバー犯罪者が自分たちのトラフィックを匿名化するために利用するプロキシサービスに貸し出すことです。専門家によれば、Aisuruや他の供給元からのプロキシの過剰供給が、さまざまな人工知能(AI)プロジェクトに関連する大規模なデータ収集活動を後押ししており、コンテンツスクレーパーが住宅回線を経由して通常のインターネットユーザーのように見せかけることで検知を回避しています。
2024年8月に初めて確認されたAisuruは、セキュリティの甘いインターネットルーターや監視カメラなど、少なくとも70万台のIoTシステムに感染しています。Aisuruの支配者たちは、この巨大なボットネットを使い、感染したすべてのシステムから一斉に大量の不要リクエストを送りつけることで、注目を集めるDDoS攻撃を仕掛けてきました。
6月には、AisuruがKrebsOnSecurity.comに対して、6.3テラビット/秒というDDoS攻撃を行いました。これは当時Googleが対処した中で最大の攻撃でした。その後数週間から数か月の間に、Aisuruの運営者は1秒あたり約30テラビットものデータを送るDDoS能力を示し、ほとんどのインターネット拠点の防御能力をはるかに上回っています。
こうしたデジタル包囲攻撃は、特に今年、米国拠点のインターネットサービスプロバイダー(ISP)に大きな混乱をもたらしました。これは、Aisuruが最近、米国内の多数のIoTデバイスを乗っ取ることに成功したためです。Aisuruが攻撃を開始すると、これらのISP上の感染システムからの発信トラフィックが非常に多く、ISPの他の(感染していない)顧客のインターネットサービスにも障害や低下を引き起こすことがあります。
「複数のブロードバンドアクセスネットワーク運営者が、エンドユーザ宅に設置されたAisuruボットネットノードから発信される1.5Tb/秒を超えるDDoS攻撃により、重大な運用上の影響を受けています」と、Netscoutの主任エンジニアRoland Dobbinsは、最近のAisuruに関するエグゼクティブサマリーで述べています。「侵害された顧客宅内機器(CPE)からの1Tb/秒を超える発信・横断攻撃トラフィックは、有線・無線ブロードバンドアクセスネットワークに大きな混乱をもたらしました。高スループット攻撃により、シャーシ型ルーターのラインカード障害も発生しています。」
Aisuruによる絶え間ない攻撃は、米国および欧州の連邦当局の注目を集めています(Aisuruの被害者の多くは欧州拠点のISPやホスティングプロバイダーの顧客です)。最近では、世界最大級のISPの一部が、攻撃者がボットネットの活動を制御するサーバーの急速に変化する位置を特定するブロックリストを非公式に共有し始めています。
専門家によると、Aisuruのボットマスターは最近、感染デバイスがいわゆる「住宅プロキシ」プロバイダーにより簡単に貸し出せるよう、マルウェアをアップデートしました。これらのプロキシサービスは、顧客が他人のデバイスを経由してインターネット通信を行うことを可能にし、匿名性と、世界中のほぼすべての主要都市で通常のインターネットユーザーとして振る舞う能力を提供します。
ウェブサイト側から見ると、住宅プロキシネットワーク利用者のIPトラフィックは、プロキシサービスの顧客ではなく、借りられた住宅IPアドレスから発信されているように見えます。プロキシサービスは、価格比較や販売インテリジェンスなど、いくつかのビジネス目的で正当に利用されることもあります。しかし、サイバー犯罪活動(広告詐欺やクレデンシャルスタッフィングなど)を隠すために大規模に悪用されており、悪意あるトラフィックの元を追跡しにくくしています。
そして、後ほど詳しく述べますが、この闇の業界全体が、さまざまなAIプロジェクトを支える大規模言語モデル(LLM)に生データを継続的に供給する、積極的なコンテンツスクレイピング活動の支援へとシフトしているようです。
「異常」な成長
Riley Kilmerは、プロキシネットワークを追跡するサービスspur.usの共同創設者です。Kilmer氏によると、主要なプロキシサービスは過去6か月で大幅に成長しています。
「今確認したところ、過去90日間で2億5000万件のユニークな住宅プロキシIPを観測しました」とKilmer氏は述べました。「これは異常です。あまりにも多すぎて前代未聞です。今やこれらのプロキシは至る所に存在しています。」
現在、Spurはすべてのプロバイダーで利用可能なプロキシ数が前例のない急増を記録しているとしています。例:
LUMINATI_PROXY 11,856,421
NETNUT_PROXY 10,982,458
ABCPROXY_PROXY 9,294,419
OXYLABS_PROXY 6,754,790
IPIDEA_PROXY 3,209,313
EARNFM_PROXY 2,659,913
NODEMAVEN_PROXY 2,627,851
INFATICA_PROXY 2,335,194
IPROYAL_PROXY 2,032,027
YILU_PROXY 1,549,155
プロキシネットワークの急成長についてコメントを求められたSpurのリスト4位のOxylabsは、自社のプロキシプールは最近増加したものの、Spurが指摘するほどの急増ではないと述べました。
「他社の数値を体系的に追跡しているわけではありませんし、特に大手の正規企業で10倍や100倍の成長があったという事例は把握していません」と同社は書面で回答しました。
Bright Dataは以前はLuminati Networksとして知られており、現在Spurの最大住宅プロキシネットワークリストのトップに位置しています。Bright Dataもまた、Spurの現時点での自社プロキシネットワークの推定値は大幅に過大で不正確だとKrebsOnSecurityに伝えました。
「我々はネットワークの10倍や100倍の拡大を積極的に行っていませんし、そのような兆候も見られません。誰かが何らかの形でこれらのIPをBright Dataのものとして提示している可能性があります」とBright Dataのコンプライアンス・倫理責任者Rony Shalit氏は述べました。「過去にも、当社がデータ収集プロキシのリーディングプロバイダーであるため、他社による悪意ある活動で使われていたIPが当社ネットワークの一部と誤ってタグ付けされたことが多々ありました。」
「当社ネットワークは、認証済みIPプロバイダーおよび堅牢なオプトインのみの住宅ピアからのみ調達しており、完全な透明性のもとで努力しています」とShalit氏は続けました。「すべてのDC、ISP、SDKパートナーは審査・承認され、住宅ピアもネットワーク参加に積極的にオプトインする必要があります。」
HKネットワーク
Spurでさえ、LuminatiとOxylabsは、リスト上位の他のほとんどのプロキシサービスとは異なり、実際に「顧客確認」ポリシー(全顧客とのビデオ通話や再販アクセスの厳格な禁止など)を遵守していると認めています。
Benjamin Brundageは、企業のプロキシネットワーク検出を支援するスタートアップSynthientの創設者です。Brundage氏によれば、どのプロキシネットワークが最も問題か混乱が増しているのは、これらあまり知られていないプロキシサービスのほぼすべてが、非常に複雑な帯域再販業者へと進化しているためです。さらに、一部のプロキシプロバイダーは追跡されることを嫌い、住宅プロキシノードをインターネット上でスキャンするシステムを混乱させるために積極的な対策を取ることもあるといいます。
Brundage氏によれば、今日のほとんどのプロキシサービスは独自のソフトウェア開発キット(SDK)を作成しており、他のアプリ開発者が自分のコードに組み込むことで収益を得られるようになっています。これらのSDKはユーザーのデバイスを静かに改変し、帯域の一部をプロキシサービス顧客のトラフィック転送に利用できるようにします。
「プロキシプロバイダーは、常に入れ替わるIPアドレスのプールを持っています」と彼は言います。「これらのIPアドレスは、帯域共有アプリ、ボットネット、Android SDKなど、さまざまな手段で調達されます。プロバイダーはしばしば、再販業者に直接アプローチしたり、プラットフォーム上で帯域再販を可能にする再販プログラムを提供したりします。」
多くのSDKプロバイダーは、エンドユーザー端末へのインストール前に完全な同意を必要とすると主張しています。それでも、そのオプトイン契約や同意チェックボックスは、Aisuruのボットマスターのようなサイバー犯罪者にとっては単なる形式的なものに過ぎず、感染デバイスがこれらのプロキシサービスを有効にするSDKを強制的にインストールされるたびに手数料を得ることができます。
構造によっては、1つのプロバイダーが同時に数百の異なるプロキシプールを運営している場合もあり、すべて他の手段で維持されているとBrundage氏は述べます。
「しばしば、再販業者が自分自身のプロキシプールを上流プロバイダーとは別に維持しているのを目にします」と彼は言います。「これにより、彼らは高額顧客向けにプロキシプールを売り込み、無制限帯域プランを安価に提供して自分たちのコストを削減できます。」
一部のプロキシプロバイダーは、ボットマスターと直接提携しているようです。Brundage氏は、コンテンツスクレイピング企業向けに安価で豊富な帯域を積極的に宣伝していたプロキシ販売業者を特定しました。そのプロバイダーの利用可能なプロキシプールをスキャンしたところ、以前Aisuruボットネットに紐付けたIPアドレスと1対1で一致したといいます。
Brundage氏によれば、あらゆる指標で世界最大の住宅プロキシサービスは中国拠点のIPideaです。IPideaはSpurのトップ10で5位に位置し、Brundage氏によれば、そのブランドにはABCProxy(3位)、Roxlabs、LunaProxy、PIA S5 Proxy、PyProxy、922Proxy、360Proxy、IP2World、Cherry Proxyが含まれます。SpurのKilmer氏も、Yilu Proxy(10位)をIPideaとして追跡していると述べています。
Brundage氏によれば、これらすべてのプロバイダーは、サイバー犯罪フォーラムで「HK Network」として知られる企業グループの傘下で運営されています。
「仕組みとしては、IPideaが非常に積極的に他のプロキシプロバイダーに『うちから帯域を買えば素晴らしい再販価格を提供する』と持ちかけ、リセラーエコシステム全体ができあがっています」とBrundage氏は説明します。「また、アプリのリセラー募集にも非常に積極的です。」
Synthientが発見した、IPideaプロキシをホワイトラベルで提供しているプロキシプロバイダー間の関係を示す図。画像:Synthient.com。
これらのアプリには、低価格または「無料」の仮想プライベートネットワーク(VPN)サービスも含まれており、ユーザーは確かに無料VPNを利用できますが、その代わりにユーザーのデバイスがサイバー犯罪者に貸し出されるトラフィック中継点や、他の無数のプロキシネットワークに分配されることになります。
「彼ら(IPideaとその姉妹ネットワーク)は、余剰帯域を捌く必要があるのです」とBrundage氏は述べます。「自社プラットフォーム経由でもできますし、怪しいハッカーフォーラムで広告を出してリセラーを募り、さらに多くの人にリーチすることもできます。」
IPideaの主要ブランドの一つが922S5Proxyで、これは2015年から2022年まで大人気だった911S5Proxyサービスをほのめかすネーミングです。2022年7月、KrebsOnSecurityは911S5Proxyの起源と中国の所有者と思われる人物について詳細調査記事を公開しました。その1週間足らず後、911S5Proxyは大規模なハッキング被害を受けて閉鎖を発表しました。
その2022年の記事では、北京のYunhe Wang氏が911S5プロキシサービスの所有者または管理者であると名指しされていました。2024年5月、米国司法省はWang氏を逮捕し、彼のネットワークが金融機関、クレジットカード発行会社、連邦融資プログラムから数十億ドルを盗むのに使われたと主張しました。同時に米財務省も、Wang氏と他2名の中国人に対し911S5Proxy運営で制裁を発表しました。
922Proxyのウェブサイト。
AIのためのデータスクレイピング
ここ数か月、ボットネットやプロキシ活動を追跡する複数の専門家が、AI企業に最終的に利益をもたらす多くのコンテンツスクレイピングが、これらのプロキシネットワークを活用して積極的なデータ収集活動をさらに隠蔽していると指摘しています。住宅IPアドレスを経由することで、コンテンツスクレイピング企業はトラフィックをよりフィルタリングしにくくできるからです。
「本当にブロックが難しいのです。なぜなら、実際の人間をブロックしてしまうリスクがあるからです」とSpurのKilmer氏は、個々の住宅IPアドレス(しばしば複数顧客で共有)を通じて供給されるLLMスクレイピング活動について述べています。
Kilmer氏によれば、AI業界は住宅プロキシビジネスに正当性の仮面を与えました。それまでは、怪しいアフィリエイト収益化プログラム、自動化された悪用、望まれないインターネットトラフィックと主に結び付けられていました。
「ウェブクロールやスクレイピングは昔からありましたが、AIによってそれが商品化され、収集すべきデータになったのです」とKilmer氏は語りました。
「ウェブクロールやスクレイピングは昔からありましたが、AIによってそれが商品化され、収集すべきデータになったのです」とKilmer氏は語りました。「誰もが自分のデータ資産を収益化したがり、その方法は千差万別です。」
Kilmer氏によれば、多くのLLM関連スクレイパーは、コンテンツプロバイダーがアプリ経由の利用を強制したり、すべてのコンテンツを多要素認証付きのログインページの裏に隠したりしてアクセスを制限している場合、住宅プロキシに頼っています。
「データのコストが手の届かない場合――何らかの排他性やアクセスできない理由がある場合――彼らは住宅プロキシを使い、まるで本物の人間がアクセスしているように見せかけるのです」とKilmer氏はコンテンツスクレイピングの取り組みについて述べています。
攻撃的なAIクローラーはますますコミュニティが維持するインフラを過負荷にし、重要な公共リソースへの持続的なDDoS攻撃と同等の事態を引き起こしています。今年初めのLibreNewsのレポートによれば、一部のオープンソースプロジェクトでは、トラフィックの最大97%がAI企業のボットによるものとなり、帯域コストの増大、サービスの不安定化、すでに逼迫している管理者の負担増を招いています。
Cloudflareは現在、コンテンツ制作者がAIクローラーに対しウェブサイトのスクレイピングごとに料金を請求できるツールを実験中です。同社の「ペイ・パー・クロー」機能は現在プライベートベータで、パブリッシャーがボットによるスクレイピング前に支払うべき価格を設定できます。
10月22日、ソーシャルメディア兼ニュースネットワークのRedditは、Oxylabs(PDF)および他の複数のプロキシプロバイダーを提訴し、Redditがそのような活動をブロックする措置を講じていたにもかかわらず、彼らのシステムがRedditユーザーコンテンツの大量スクレイピングを可能にしたと主張しています。
「Redditが彼らのようなスクレイパーにサイトへのアクセスを拒否していることを認識し、被告らはGoogleの検索結果からデータをスクレイピングしています」と訴状は主張しています。「彼らは身元を隠し、所在地を隠し、ウェブスクレイパーを通常の人間のように偽装する(その他の手法も含む)ことで、こうした活動を阻止するためのセキュリティ制限を回避または突破しています。」
Denas Grybauskas氏(Oxylabsのガバナンス・戦略責任者)は、同社はこの訴訟にショックを受け、失望していると述べました。
「Redditは私たちに直接話しかけたり、懸念を伝えたりしようとしたことはありません」とGrybauskas氏は書面で述べました。「Oxylabsは常に、今後も公開データ収集のパイオニアであり業界リーダーであり続けます。この主張に対しては断固として自社を守るつもりです。Oxylabsの立場は、どの企業も自分たちのものでない公開データの所有権を主張すべきではないというものです。これは単に同じ公開データを高値で売るための試みかもしれません。」
Aisuruがいかに大規模で強力であっても、住宅プロキシの広範な普及に寄与している唯一のボットネットではありません。例えば、6月5日、FBIのインターネット犯罪苦情センターは警告を発し、BADBOX 2.0と呼ばれるIoTマルウェアの脅威が、数百万台のスマートTVボックス、デジタルプロジェクター、車載インフォテインメントユニット、デジタルフォトフレーム、その他のIoTデバイスを侵害したと述べました。
7月にはGoogleが、Badboxボットネットの容疑者に対しニューヨーク連邦裁判所で訴訟を起こしました。Googleによれば、Badbox 2.0ボットネットは「Googleのセキュリティ保護がないAndroidオープンソースソフトウェアを搭載した1,000万台以上の認証されていないデバイスを侵害し、サイバー犯罪者がこれらのデバイスにマルウェアをプリインストールして大規模な広告詐欺やその他のデジタル犯罪に利用した」としています。
見覚えのあるドメイン名
Brundage氏によれば、Aisuruのボットマスターは独自のSDKを持っており、そのコードの一部が多くの新規感染システムにfuckbriankrebs[.]comというドメイン名を問い合わせさせるようになっています。これはこのサイトの著者に対する単なる手の込んだ「嫌がらせ」に過ぎないのかもしれません。ボットネットの共犯者の一人は「Forky」というハンドルで、6月にKrebsOnSecurityがサンパウロ(ブラジル)出身の若者と特定しています。
Brundage氏は、AisuruのAndroid SDKに感染したシステムだけがこのドメインの解決を強制されると指摘しています。当初、このドメインがボットネットの運用を妨害する「キルスイッチ」として機能する可能性があるかどうか議論されましたが、Brundage氏や本記事で取材した他の専門家はその可能性は低いとしています。
fuckbriankrebsドットコムという新規登録ドメインでDNSサーバーを有効化した後のトラフィックのごく一部サンプル。各ユニークIPアドレスが独自のサブドメインをリクエストしている。画像:Seralys。
そもそも、そのドメインがボットネット運用に不可欠なら、なぜ未登録で販売中のままだったのか?実際どうなのか尋ねてみました。幸いにも、そのドメイン名は先週、セキュリティインテリジェンス企業Seralysの「チーフハッキングオフィサー」Philippe Caturegli氏によって巧みに取得されました。
Caturegli氏はそのドメインでパッシブDNSサーバーを有効化し、数時間以内にfuckbriankrebs[.]com上のユニークサブドメインへのリクエストを70万件以上受信しました。
しかし、Aisuruの可視化ができたとしても、このドメインのチェックイン機能を使ってボットネットの真の規模を測るのは難しいとBrundage氏は述べます。なぜなら、このドメインにアクセスしているシステムは、全体のボットネットのごく一部に過ぎないからです。
「ボットはサブドメインへのルックアップをハードコードでスパムしています」と彼は言います。「感染が発生したりバックグラウンドで動作したりすると、必ずDNSクエリが実行されます。」
Caturegli氏は本日、fuckbriankrebsドットコム上の全サブドメインにこのASCIIアート画像を表示するよう一時的に設定しました。
fuckbriankrebs[.]comドメインには波乱の歴史があります。2009年の初登場時には、Cutwailスパムボットネットによって悪意あるソフトウェアを拡散するために使われていました。2011年には、このウェブサイトに対する著名なDDoS攻撃に関与し、そのボットネットはRusskill(別名「Dirt Jumper」)によって動かされていました。
Domaintools.comによれば、2015年にはfuckbriankrebs[.]comドメインがDavid “Abdilo” Creesという27歳のオーストラリア人のメールアドレスに登録されていたことが判明しています。彼は2025年5月、米連邦裁判所で服役済み判決を受けた、Lizard Squadハッカーグループ関連のサイバー犯罪で有罪となった人物です。
2025年11月1日午前10時25分(米東部時間)更新:本記事の初期バージョンでは、Spurのプロキシ数値を今年初めのものとして誤って引用していました。Spurによると、その数値は住宅プロキシ(実際のエンドユーザーデバイスに紐付くローテーション型)と、AT&Tにある「ISPプロキシ」(より静的なデータセンタープロキシとして再販される大量のIPアドレスをISPにルーティングさせる手法)を混同したものでした。
翻訳元: https://krebsonsecurity.com/2025/10/aisuru-botnet-shifts-from-ddos-to-residential-proxies/
