Azure、15Tbps規模のDDoS攻撃を50万IPから受ける

 (bleepingcomputer.com)
2 ポイント 投稿者 GN⁺ 2025-11-18 | 1件のコメント | WhatsAppで共有
  • AisuruボットネットがMicrosoft Azureネットワークを標的に、毎秒15.72Tbps規模の大規模DDoS攻撃を実行
  • 攻撃は50万件以上のIPアドレスから発生し、オーストラリア国内の特定の公開IPを狙ったUDPフラッドの形で毎秒36億パケットに到達
  • AisuruはTurbo Mirai系IoTボットネットで、家庭用ルーターやカメラを悪用し、米国など複数の国のISPネットワークを通じて拡散
  • CloudflareとQi’anxinの過去の攻撃事例でも、同じボットネットが11.5Tbps〜22.2Tbps規模の攻撃に関与していたことが確認
  • クラウドインフラ全体で大規模IoTベースDDoS脅威の継続的拡大が明らかになった事例

Azureに対する15.72Tbps DDoS攻撃の概要

  • Microsoftは、AisuruボットネットがAzureネットワークに対して毎秒15.72TbpsのDDoS攻撃を実行したと発表

    • 攻撃は50万件以上のIPアドレスから発生
    • 攻撃タイプは高速UDPフラッドで、オーストラリア国内の特定の公開IPを標的にしていた
    • トラフィックは毎秒約**36億4,000万パケット(bpps)**に達した

  • Microsoft AzureセキュリティチームのSean Whalenは、AisuruがTurbo Mirai級のIoTボットネットであり、
    家庭用ルーターやカメラを感染させて大規模攻撃を引き起こしていると説明

    • 主に米国およびその他の国の住宅向けISPネットワークを通じて拡散

  • 攻撃トラフィックはソーススプーフィングがほとんどなくランダムな送信元ポートを使用

    • そのため、追跡(traceback)およびプロバイダーによる遮断措置が容易だった

Aisuruボットネットのこれまでの活動

  • Cloudflareは2025年9月、同じAisuruボットネットが22.2Tbps規模のDDoS攻撃を引き起こしたと報告

    • 毎秒106億パケットに達し、約40秒間継続
    • これは100万本の4K動画同時ストリーミングに相当するトラフィック量

  • 中国のセキュリティ企業Qi’anxinのXLabは、11.5Tbps規模の攻撃をAisuruボットネットによるものと分析

    • 当時は約30万台のボットが制御されていた

感染経路と拡散

  • AisuruはIPカメラ、DVR/NVR、Realtekチップ、ルーターのセキュリティ脆弱性を悪用
    • 対象メーカーはT-Mobile、Zyxel、D-Link、Linksysなど
  • 2025年4月、TotoLinkルーターのファームウェア更新サーバー侵害を通じて約10万台の機器が追加感染
    • この時点以降、ボットネットの規模が急速に拡大

Cloudflareの対応と影響

  • セキュリティ記者Brian Krebsは、CloudflareがAisuru関連ドメイン
    自社の「Top Domains」ランキングから削除したと報道
    • これらのドメインがAmazon、Microsoft、Googleなどの正規サイトより上位に入り、順位を歪めていた
  • Cloudflareは、Aisuru運営者がDNSサービス(1.1.1.1) に悪意のあるクエリを大量送信し、
    ドメイン人気を人為的に高めていたと説明
    • CEOのMatthew Princeは、これによりランキングシステムが深刻に歪められたと述べた
    • その後Cloudflareは、疑わしいドメインを非公開扱いにする方針を導入

DDoS攻撃増加の傾向

  • Cloudflareの2025年第1四半期DDoSレポートによると
    • 前年比358%増、前四半期比198%増の攻撃量を記録
    • 2024年の1年間で、顧客向け2,130万件、自社インフラ向け660万件の攻撃をブロック
    • 一部は18日間続いたマルチベクター攻撃キャンペーンだったことが確認されている

要約

  • Aisuruボットネットは、IoT機器感染を通じた超大規模DDoS攻撃インフラへと成長
  • Microsoft AzureやCloudflareなど主要クラウド事業者が過去最大級の攻撃を防御
  • DNSサービスの歪曲、IoT脆弱性の悪用、グローバルトラフィックの急増が組み合わさった複合的脅威の様相
  • クラウドおよびネットワーク事業者にとって、継続的な防御体制強化の必要性を示す事例

関連記事

1件のコメント

 
GN⁺ 2025-11-18
Hacker Newsの意見

  • Aisuru DDoSボットネットが政府や軍事機関は避け、主にオンラインゲームを攻撃対象にしているのは興味深い
    ただ、なぜ誰かが金を払ってゲームサーバーを落とすのか理解できない。数時間ゲームをできなくして何を得るのだろうかという疑問が湧く
    関連ブログ記事

    • 結局のところ理由は怒りと権力欲である。「自分ができないなら誰にもさせない」という心理で、サーバー運営者を脅してモデレーター権限を要求することもある
      別のケースでは、競合サーバーを攻撃して有料アイテムやランク販売の収益を独占しようとする目的もある
    • eスポーツ賭博が大きな理由である。実際にFortnite大会でも、競争相手を不利にするためにDDoSが使われた事例がある
    • 一部はゲーム内の市場操作を狙っている。取引可能な通貨やアイテムがあるゲームでは、サーバー停止が価格に影響する
      また、イベントやトーナメントを妨害したり、単に開発者に恨みを持った荒らし行為である場合もある
    • ゲームそのものより賭博サイト間の競争のほうが大きな理由かもしれない。数時間競合サイトを落とせば大金が動く
      最近のCoffeeZillaの動画でも、こうしたゲーミングカジノの奇妙な振る舞いが言及されていた
    • 繰り返しになるが、eスポーツ賭博市場があまりにも大きいため、こうしたことが起きる

  • 関連記事を見ると、AisuruボットネットはCloudflareの主要ドメイン一覧から削除されたり、レジデンシャルプロキシへ移行したりするなど進化中である

  • 2025年4月、TotoLinkのファームウェアサーバーがハッキングされ、10万台のルーターが感染した事件があった
    オープンソースプロジェクト(OpenWRTなど)は良いが、サーバーのセキュリティは誰が守るのか心配になる。デジタル署名で防げるのだろうかという疑問が湧く

    • OpenWRTはファームウェアとパッケージをデジタル署名で保護している。更新前に署名を自分で検証することもできる
      しかし、ビルド後から署名前の段階で感染すると大規模被害が起こり得るため、再現可能ビルド(reproducible builds) が重要である
      OpenWRTセキュリティ文書
    • 民間企業も実際にはセキュリティ人員に最低限しか投資しない。商用ルーターのほうがむしろ脆弱な場合が多い
    • そのためOpenWRTは自動更新をデフォルトで無効化している
    • オープンソースのリポジトリは何百人も監視しているが、企業のビルドサーバーは1人か2人が見るかどうかである
    • ある人は、この議論は単に「セキュリティはどうするんだ」といった論点をぼかす発言だと指摘している

  • DDoSはしばしばセキュリティチームの注意をそらすために使われる。混乱の中でもっと秘匿性の高い攻撃を仕掛けるのである

    • ただし、こうしたケースが「頻繁に」あるのかは疑問である。DDoS対応中にセキュリティ設定を緩めるわけではないため、効率的な戦略ではない可能性もある
    • MSが記録的な攻撃を受けてもサービスに遅延がなかった点は興味深い。もともと遅いので気づかなかったのかもしれない、という冗談もある

  • IoTは依然としてセキュリティの甘い機器の波である。より良い方法が必要だ

    • ISPが顧客の使うルーターを制限すればセキュリティは良くなるだろうが、自由が減る点が心配である
    • 「IoTのSはSecurityのS」という冗談のように、セキュリティが欠けた構造的問題である
    • 「より良い方法が必要だ」という言葉に対し、「その前にもっと大きな波が来るだろう」という冷笑的な反応もある
    • 欧州の自動セキュリティ更新義務化政策が、逆説的にボットネット拡散の原因になったという分析もある。更新サーバーがハッキングされれば、数十万台が同時に感染する

  • ブログへのアクセスを試みたが、プロキシエラーが発生した。皮肉にも関連する記事がDDoSで塞がれているような状況である

  • なぜ国際サイバー犯罪専従機関がないのか理解できない。こうした悪質行為を防げるはずなのに

    • 各国の主権問題と政治的利害のため不可能である。一部の国はこうした犯罪から利益を得ていることさえある
    • 実際には国際協力捜査は着実に行われている。しかし政治的制約のため、新たな機関ができても大きな変化はないだろう
    • UNのような既存組織も戦争・人身売買・資金洗浄を完全には止められていない。それでも完全な無法状態よりはましだが、限界はある
    • 中国とロシアは西側の失敗を望んでいる。こうした状況で協力は期待しにくい
    • 「Team America, World Police?」という冗談のように、国際警察ができたとしても抑止より予防中心のアプローチが必要である
      例えばセキュリティ基準を義務化する条約を作れば、脆弱な消費者向けルーターが減り、DDoS市場そのものを縮小できるかもしれない
      しかし犯罪者は強者ではなく弱者だけを攻撃するため、社会的関心が薄い

  • これほど多くのノードを持ちながら、すばらしい技術を作ろうとはせず、ただ自尊心を満たすために使っているのが残念である
    Torのようなネットワークや分散アーカイブシステムも作れただろうに、結局犯罪に浪費されているのが惜しい

  • 「誰が得をするのか(Cui bono)?」という問いが浮かぶ。こうした大規模攻撃に本当に価値があるのか疑問である。もしかすると身代金要求が隠れているのだろうか

    • 実際にはコストはほとんどかからない。ここ数か月、Minecraftサーバーのような場所を無差別に攻撃し続けている

  • 「オーストラリアの1つのエンドポイントだけを攻撃した」という点が奇妙である。世界最大級のDDoSをなぜそこに使ったのだろうか?
    CDNがあるなら冗長構成のはずだが、誰が金を払い、何を得たのか気になる

    • DDoSはシグナルではなくノイズである。攻撃の目的はログを埋め尽くして本当の標的を隠すことかもしれない。APT28/29はこの戦略を使う
    • あるいは単にオーストラリアのゲーマー同士の感情的な争いかもしれない。「SimmoがJonnoの妹と別れてキレた」といった冗談も出ている
    • 実際にはこうした攻撃は毎日起きており、ほとんどはCloudflare Magic Transitのような防御ソリューションで防がれている。
      深読みしすぎる必要はないという意見である