概要
米国司法省(DoJ)は2026年3月、FBI主導のもとカナダ・ドイツの法執行機関と連携し、AISURU・Kimwolf・JackSkid・Mossadという4つの主要なIoTボットネットの指令制御(C2)インフラを解体・無効化したと発表した。これらのボットネットは合計で世界中の約300万台のデバイスに感染しており、2025年11月にCloudflareが観測した31.4Tbpsという史上最大規模のDDoS攻撃の実行基盤として機能していた。Akamai・AWS・Cloudflare・Google・Lumen・Oracleなど多数の民間テクノロジー企業も本作戦に協力した。
技術的な詳細
今回摘発されたボットネット群は、DVR・Webカメラ・Wi-Fiルーター・Androidスマートテレビ・セットトップボックスなど多様なIoTデバイスを標的としていた。特にKimwolfは2025年12月にXLabが初めて記録したAISURUの亜種で、200万台以上のAndroidデバイスを侵害した点が際立っている。Kimwolfが開拓した新しい攻撃手法は、**ADB(Android Debug Bridge)**が外部に露出した住宅向けプロキシネットワーク(IPIDEAなど)の脆弱性を悪用し、家庭内ネットワークを経由してローカル保護されたネットワークに侵入するというものだ。JackSkidやMossadはその後この手法を模倣して拡散した。
攻撃の規模感を数字で示すと、AISURUだけでも20万件以上のDDoSコマンドを発行しており、JackSkidは2026年3月初旬に1日あたり平均15万台のデバイスを被害に遭わせ、3月8日には最大25万台に達した。2025年11月の最大攻撃は35秒間しか続かなかったものの、ピーク時140億パケット/秒・3億リクエスト/秒という凄まじいトラフィックを記録した。AWSのTom Scholl氏は「Kimwolfはボットネットの運用とスケーリングの根本的な変革を示した」と評している。
背景と影響
これらのボットネットは「サービスとしてのサイバー犯罪(CaaS)」モデルで運営されており、感染デバイスへのアクセスをDDoS攻撃や恐喝目的で有償提供していた。Cloudflareは今回の攻撃の規模を「英国・ドイツ・スペイン3カ国の人口が同じ1秒間に同時にWebサイトのURLを入力してEnterキーを押すようなもの」と表現している。
調査の過程でジャーナリストのBrian Krebsは、カナダ・オタワ在住の23歳Jacob Butler(オンライン名「Dort」)をKimwolfの管理者として特定した。Butlerは現在の関与を否定し、「Dort」というハンドルネームは2021年以降使用しておらず、アカウントが成りすまされた可能性があると主張している。また、ドイツ在住の15歳の少年も主要容疑者として浮上しているが、現時点で逮捕者は出ていない。
今後の課題
Lumen Black Lotus Labsは約1,000台のC2サーバーをヌルルーティングで無効化したが、ADBを悪用する攻撃手法はすでに複数の競合ボットネットに採用されており、脅威が完全に収束したとは言えない状況だ。Black Lotus LabsのRyan English氏は「脆弱なデバイスが大量に存在するため、Kimwolfは驚くほどの回復力を持ち、さらに複数の新ボットネットが同じ手法を模倣し始めた」と警告している。住宅向けプロキシネットワークにおけるADB露出の脆弱性は引き続き大きなリスクであり、IoTデバイスのセキュリティ強化が業界全体の急務となっている。