サイバー脅威の情勢に、新たにして手強い敵が出現した。恐るべきボットネットであるDDoS「Kimwolf」は、世界中のデバイスに壊滅的な影響を与えている。この脅威がもたらす結果は極めて深刻になり得るうえ、その規模は拡大し続けている。
この問題の実態を理解するには、Kimwolfがマルウェアに感染したデバイスのネットワークであり、攻撃者が遠隔から制御できることを踏まえる必要がある。Kimwolfの主目的はDDoS攻撃の実行で、システムやネットワークに過負荷をかけ、アクセス不能にすることを狙っている。
中国企業QiAnXinによれば、KimwolfはスマートTV、セットトップボックス、Androidベースのタブレットなど、異種混在のデバイス少なくとも180万台の侵害に成功したという。この数字は実に驚異的であり、被害デバイスの多様さが状況をさらに深刻にしている。
結論として、Kimwolfは無視できない問題そのものだ。異なるデバイスへ迅速に拡散し、DDoS攻撃を実行できる能力を持つ。すでに関与しているデバイス数の多さを踏まえると、Kimwolfは注意と対処を要する重大な脅威である。
KimwolfはNative Development Kit(NDK)を用いてコンパイルされており、従来型のDDoS機能を超えている。大規模なサービス妨害攻撃を仕掛けるだけでなく、プロキシ転送、リバースシェルによるアクセス、ファイル管理機能を統合している。その結果、攻撃者はデバイスをボットとして動員できるだけでなく、より広範な攻撃的オペレーションに悪用することも可能になる。
QiAnXinの推計によると、このボットネットは2025年11月19日から22日の間に、合計17億回のDDoS攻撃を発生させた。活動量が非常に多かったため、同ボットネットのコマンド&コントロール(C2)ドメインである14emeliaterracewestroxburyma02132[.]suは、CloudflareのDNSランキングで首位に位置した。
このボットネットの主な標的は、TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTB、MX10などのモデル、ならびにその他多数である。感染は世界中で確認されており、特にブラジル、インド、米国、アルゼンチン、南アフリカ、フィリピンで高い集中が見られる。QiAnXinは、初期マルウェアがどのようにしてこれらのデバイスへ配布されたのか、まだ特定できていない。
特に、KimwolfのC2ドメインは12月に少なくとも3回、正体不明の主体によって停止させられることに成功している。おそらく競合するアクター、または独立系のセキュリティ研究者によるものとみられる。この妨害により、ボットネット運用者は戦略の変更を余儀なくされ、さらなるテイクダウンに対してインフラを強化するため、Ethereum Name Service(ENS)を採用した。
ボットネットKimwolfは、悪名高いボットネットAISURUとも関連している。調査担当者は、攻撃者が開発初期段階でAISURUのコードを再利用し、その後、より回避性の高い後継としてKimwolfを作り上げたことを突き止めた。QiAnXinは、これまでAISURUに帰属されてきた一部のDDoSキャンペーンにKimwolfが関与していた、あるいは主としてKimwolfが組織していた可能性があると疑っている。
スマートTVおよびAndroidデコーダーの利用者には、デバイスが依然としてデフォルトのパスワードを使用していないか確認し、該当する場合は直ちに変更することが推奨される。異常な挙動が検知された場合、デバイスの完全な初期化が必要になる可能性がある。
ファームウェアやシステムの更新は、利用可能になり次第、速やかに適用すべきである。しかし、これらのデバイスの多くは発売後のアップデート支援が乏しい、あるいはまったくないため、脆弱性が特定されても長期的な修正が難しくなっている。