2025年下半期におけるボットネット駆動型DDoS攻撃の進化

NETSCOUTの最新DDoS脅威インテリジェンスレポートにおけるスワームの解明

2025年下半期は、分散サービス妨害（DDoS）攻撃の世界における重要な転換点となりました。世界中の組織は、完全な危機的状況に直面しています。人工知能（AI）が攻撃兵器として成熟化し、ボットネットインフラはマルチテラビット攻撃能力を備えた新たな高さに到達し、DDoS代行サービスはより多くの人々、さらには非技術者の敵対者にまでアクセス可能になりました。

2025年下半期に203の国と地域で800万件以上のDDoS攻撃を監視したNETSCOUTのATLASグローバル脅威インテリジェンスプラットフォームは、意図と能力との境界線がほぼ消滅してしまった脅威環境を明らかにしています。秒速30テラビットに達する攻撃が今や可能であり、会話型AIインターフェースでさえ未熟な攻撃者を複雑な作業へと導いています。

エグゼクティブサマリー

2025年7月から12月の間、DDoS攻撃の数は前半と比較して安定していましたが、これらの攻撃の性質は劇的に変わりました。

• 莫大な攻撃能力： デモンストレーション攻撃は30Tbpsおよび秒間4ギガパケットでピークに達し、主にAisuruやTurboMiraiバリアントなどのモノのインターネット（IoT）ボットネットによって開始されました。
• AI統合： ダークウェブ大規模言語モデル（LLM）を含むAIの使用は、新興トレンドから運用上の現実へと移行し、より広範な脅威行為者による高度な攻撃をアクセス可能にしました。
• 継続する脅威行為者： 国際法執行機関の取り組みにもかかわらず、ハクティビストグループとコモディティボットネットは高い圧力を維持しました。例えば、NoName057(16)は7月だけで200件以上の攻撃を主張し、インフラの押収後もレジリエンスを示しました。
  重大インフラが圧力を受ける：DNSルートサーバとネットワークタイムプロトコル（NTP）サービスは容赦ない攻撃に直面し、45,000件以上のNTP関連アラートが発生しました。よく設計されたシステムはレジリエンスを示しましたが、脅威の継続性は明確でした。
• 標的とされたセクターと地域： 政府、金融、通信、運輸、および接客業が最も標的とされたセクターでした。地域別では、EMEAが330万件の攻撃でリードし、続いてAPAC、北米、ラテンアメリカが続きました。

2025年下半期は単なる進化的なステップではなく、高度なDDoS攻撃を実行できる人物、その適応速度、および達成できる影響の規模における根本的な転換でした。

重要な調査結果

1. グローバルスケールと攻撃量

• 203の国と地域にわたって800万件以上のDDoS攻撃が記録され、世界中でデジタル接続された組織に対する継続的かつ増加する運用リスクが浮き彫りになりました。
• 攻撃数は前半と比較して安定していましたが、攻撃の性質と洗練度は劇的に変わりました。

2. IoTボットネットの台頭とアウトバウンドリスク

• 2025年における大規模ダイレクトパス攻撃は、侵害された顧客側機器（CPE）が1Tbpsを超えるアウトバウンドフラッドを生成できることを実証し、ブロードバンドプロバイダーに対して重大な責任とサービス可用性リスクを生じさせました。
• Aisuruおよび Eleven11（RapperBot）を含むTurboMiraiクラスのIoTボットネットは、秒速30Tbps、秒間4Gppsの攻撃を実行できる主要な力として浮上しました。Eleven11だけでも2021年から2025年半ばの間に3,600件以上のDDoSイベントに関連付けられました。

3. AI強化型DDoS代行サービス

• DDoS代行プラットフォームはダークウェブLLMおよび会話型AIを統合し、複雑な多ベクトル攻撃を開始するための技術的障壁を低下させています。
  未熟な脅威行為者さえ自然言語プロンプトを使用して高度なキャンペーンを調整できるようになり、すべての業界のリスクを増加させました。

4. 脅威行為者の協力とスケール

• 2025年7月は20,000件以上のボットネット駆動型攻撃の急増を目撃し、調整された脅威活動が防御を圧倒し、政府、金融、および運輸における重要なサービスを中断させました。
• Keymous+などのグループは、脅威行為者間のパートナーシップが攻撃力をどのように増幅できるかを実証し、協力イベントは秒速44Gbpsに達しました。

5. 継続的な圧力を受ける重大インフラ

• DNSルートサーバおよびNTPなどの高価値サービスは継続的な攻撃圧力に直面しました。少なくとも38件の重大なDNSルートイベント、AルートサーバへのSecond 21Gbpsフラッドを含む記録されました。
• 45,000件以上のNTP関連攻撃アラートが生成され、回復力のあるグローバルに分散されたアーキテクチャと堅牢な軽減戦略の必要性が強調されました。

6. 地理的およびセクター別のターゲティング

• 最も標的とされたセクターは政府機関、金融サービス、通信、運輸、および接客業でした。
• 地域別では、EMEAが330万件の攻撃でリードし、続いてAPAC（190万件）、北米（127万件）、ラテンアメリカ（101万件）が続きました。

7. 多ベクトルおよびカーペットボミング攻撃

• 全攻撃の半分以上が多ベクトルで、42%が2～5ベクトルを使用していました。カーペットボミング攻撃は増加し、2025年下半期の平均は日中750～830件でした。
• 攻撃者はDNS増幅、SSDP、SNMP、mDNS、memcached、CLDAP、および混合TCPフラッドなどの方法を頻繁にブレンドして、混乱を最大化させました。

8. 防御的成功と継続的な課題

• 特にエニキャストベースの防御を使用したよく設計されたシステムは、継続的な攻撃圧力にもかかわらずレジリエンスを示し、高い可用性を維持しました。
• しかし、脆弱なデバイスの継続性と脅威行為者の急速な適応は、組織が防御戦略において警戒的かつ積極的であり続ける必要があることを意味しています。

結論

2025年後半のDDoS脅威環境は、継続的なグローバル攻撃量、ますます有能なIoTボットネット、高度な脅威行為者キャンペーン、およびAI強化型DDoS代行運用への決定的な移行によって定義されました。最大の攻撃は依然としてまれですが、防御戦略を形作り続けています。平均的な攻撃は現在、短く、激しく、マルチセクターであり、幅広い業界と地理をターゲットにしています。

組織は、特にAI統合により、攻撃ツールの民主化がサイバー犯罪者への参入障壁を低下させたことを認識する必要があります。これらの脅威に対する防御には、堅牢なインフラだけでなく、敵対者の進化する戦術に対応できる適応的で情報駆動型の戦略が必要です。

詳細については、NETSCOUTの2025年下半期DDoS脅威インテリジェンスレポートをお読みください。