過去1週間、Kimwolf として知られる大規模な「モノのインターネット」(IoT) ボットネットが、オンライン通信を匿名化し保護するために設計された分散型暗号化通信ネットワーク The Invisible Internet Project (I2P) を混乱させています。I2P ユーザーは、Kimwolf のボットマスターがボットネットのコントロールサーバーに対するテイクダウンの試みを回避するために I2P に依存し始めたのとほぼ同時期に、ネットワークの混乱を報告し始めました。
Kimwolf は2025年後半に出現したボットネットで、瞬く間に数百万のシステムに感染し、TV ストリーミングボックス、デジタルフォトフレーム、ルーターなどの脆弱な IoT デバイスを悪意のあるトラフィックのリレーや異常に大規模な分散型サービス拒否 (DDoS) 攻撃に利用しています。
I2P は、人々が匿名で通信し情報を共有できるようにする分散型のプライバシー重視ネットワークです。
「ボランティアが運営するノードを介して複数の暗号化レイヤーを通じてデータをルーティングすることで機能し、送信者と受信者の両方の場所を隠します」と I2P のウェブサイトは説明しています。「その結果、プライベートなウェブサイト、メッセージング、データ共有のために設計された、安全で検閲に強いネットワークが実現します。」
2月3日、I2P ユーザーは、数万台のルーターが突然ネットワークを圧倒し、既存のユーザーが正規のノードと通信できなくなったことについて、組織の GitHub ページで苦情を述べ始めました。ユーザーは、データを送信できない新しいルーターがネットワークに参加する数が急速に増加しており、大量の新しいシステムの流入によってネットワークが圧倒され、ユーザーが接続できなくなったと報告しました。
I2P ユーザーが、突然ネットワークを圧倒する急増するルーターの数によるサービス障害について苦情を述べています。
ある I2P ユーザーがネットワークが攻撃を受けているかどうか尋ねたとき、別のユーザーは「そのようです。接続数が60,000を超えると物理ルーターがフリーズします」と答えました。
I2P 開発者が共有したグラフで、Kimwolf ボットネットがフォールバック通信のためにネットワークの使用を開始した頃の I2P ネットワークでの成功した接続の著しい減少を示しています。
I2P ユーザーが障害に気づき始めたのと同じ日、Kimwolf を管理する人物は、70万台の Kimwolf 感染ボットをネットワーク上のノードとして参加させようとした後、誤って I2P を混乱させたと Discord チャンネルに投稿しました。
Kimwolf のボットマスターが、私の名前が付いた Discord チャンネルでボットネットで何をしているかを公然と議論しています。
Kimwolf は DDoS 攻撃を開始するための強力な武器として知られていますが、今週ボットネットの一部が I2P への参加を試みたことによって引き起こされた障害は、「シビル攻撃」として知られるものです。これは、単一のエンティティが大量の偽の仮名アイデンティティを作成、制御、運用することでシステムを混乱させることができるピアツーピアネットワークにおける脅威です。
実際、今週 I2P への参加を試みた Kimwolf 感染ルーターの数は、ネットワークの通常のサイズの何倍もありました。I2P の Wikipedia ページによると、ネットワークは世界中に分散された約55,000台のコンピュータで構成されており、各参加者はルーター(トラフィックをリレーするため)とクライアントの両方として機能しています。
しかし、ニューヨーク市に拠点を置くサイバーセキュリティコンサルタント会社 Unit 221B の創設者であり、I2P の元創設者でもある Lance James は、KrebsOnSecurity に対し、I2P ネットワーク全体は現在、任意の日に15,000から20,000台のデバイスで構成されていると語りました。
ある I2P ユーザーが2月10日にこのグラフを投稿し、主に米国から数万台のルーターが突然ネットワークへの参加を試みていることを示しています。
Benjamin Brundage は、プロキシサービスを追跡するスタートアップ Synthient の創設者であり、Kimwolf のユニークな拡散技術を最初に文書化した人物です。Brundage は、Kimwolf のオペレーターが、ボットネットの拡散と戦うために協力しているセキュリティ企業やネットワークオペレーターによって簡単にテイクダウンされないコマンド&コントロールネットワークを構築しようとしていると述べました。
Brundage は、Kimwolf を管理する人々が、バックアップコマンド&コントロールネットワークとして I2P と類似の匿名ネットワークである Tor の使用を実験していると述べましたが、最近 Tor ネットワークで広範な混乱の報告はありません。
「彼らの目標は I2P をダウンさせることではないと思います」と彼は言いました。「むしろ、テイクダウンの試みに直面してボットネットを安定させるための代替手段を探しているのです。」
Kimwolf ボットネットは昨年後半、数百万台の感染デバイスに Cloudflare のドメインネームシステム (DNS) 設定を使用するよう指示し始めたとき、Cloudflare に課題をもたらし、Kimwolf に関連するコントロールドメインが Cloudflare の最も頻繁にリクエストされるウェブサイトの公開ランキングで Amazon、Apple、Google、Microsoft を繰り返し奪取する原因となりました。
James は、I2P ネットワークは依然として通常の約半分の容量で動作しており、今後1週間でユーザーに安定性の改善をもたらすはずの新しいリリースが展開されていると述べました。
一方、Brundage は、良いニュースとして、Kimwolf の支配者たちがごく最近、より有能な開発者やオペレーターの一部を疎遠にしたようで、今週初歩的なミスを犯し、ボットネットの全体数が60万台以上の感染システムによって減少したと述べました。
「彼らは本番環境で実験を実行しているように、ただテストしているように見えます」と彼は言いました。「しかし、ボットネットの数は今大幅に減少しており、彼らは何をしているのか分かっていないようです。」
翻訳元: https://krebsonsecurity.com/2026/02/kimwolf-botnet-swamps-anonymity-network-i2p/
