ボットネット活動はこの1年間で急劇に増加し、セキュリティ研究者たちは過去最高の分散サービス拒否(DDoS)攻撃と、ますます高度な回避技術を追跡しています。
Spamhausは、2025年前半にボットネットコマンド・アンド・コントロール(C2)サーバーが26%増加し、後半にはさらに24%増加したと報告しており、2025年7月から12月だけでも21,425個のボットネットC2サーバーが観測されました。
この継続的な増加は、オープンソースボットネットコードの広い利用可能性、セキュリティが不十分なIoTデバイスの急速な成長、そして規模と機能の両面で進化し続けるMiraiベースの亜種の台頭に関連しています。
2016年に初めて検出されたMiraiは、ボットネットエコシステムにおいて最も影響力のあるマルウェア株の1つであり続けています。
ARCプロセッサーを実行し、通常削減されたLinuxバージョンを実行しているデバイスをインターネットでスキャンして、既知の脆弱性を悪用するか、工場出荷時のデフォルト認証情報で単にログインして感染させることで機能します。
Miraiを単一の脅威から脅威カテゴリー全体に変えたのは、そのソースコードの公開であり、これにより任意の行為者が最小限の努力でカスタマイズされた亜種を構築できるようになりました。
Mirai亜種を追跡する研究者たちは、21,000以上の分析されたサンプルから116以上の異なるブランチを特定しました。
注目すべき派生物の1つはSatoriで、2017年後半に初めて検出され、D-Link DSL-2750BデバイスのOSコマンドインジェクション脆弱性を悪用して、260,000台以上のホームおよび小規模オフィスルーターに感染しました。
Satoriの感染スクリプトは、複数のCPUタイプ全体でアーキテクチャ固有のペイロードをダウンロードして実行し、侵害できるデバイスの数を最大化します。
現在活動している最も破壊的なボットネットファミリーはAisuru-KimWolfです。Miraiベースのこの活動は、31.4テラビット/秒と14.1億パケット/秒の攻撃を含む、過去に記録された最大級のDDoS攻撃のいくつかに責任があり、両方とも2025年後半に観測されました。
Aisuruボットネットは世界中で100万から400万台のホストを侵害しています。
当局はKimWolfのC2ノードとして機能するDigitalOcean仮想サーバーを押収しようと試みました。
裁判文書によれば、これらの活動全体で300万台以上のデバイスが感染し、数十万件のDDoS攻撃が実行され、被害者に恐喝要求が発行されました。
漏洩したソースコード、パッチが当たっていないIoTデバイス、およびますますコモディティ化された攻撃サービスによって駆動されるボットネット活動の継続的な成長は、減速の兆候を示していません。
数百万台のホームルーターがパッチが当たらないままであり、デフォルト認証情報が変わらない限り、Miraiとその子孫は肥沃な地を見つけ続けるでしょう。
翻訳元: https://cyberpress.org/mirai-botnet-drives-ddos-surge/