原題: Aisuru Botnet Shifts from DDoS to Residential Proxies
アイスルボットネット、DDoS攻撃から住宅用プロキシサービスへの転換
2024年8月に初めて確認された「Aisuru(アイスル)」ボットネットは、当初大規模なDDoS攻撃を繰り返していましたが、最近では感染したIoT機器を住宅用プロキシとして貸し出す新たなビジネスモデルへと転換しています。本記事では、このボットネットの特徴や技術的背景、影響、そして対策について詳しく解説します。
主要なポイント
- 大規模感染とDDoS攻撃:アイスルボットネットは少なくとも70万台のIoT機器(ルーターやセキュリティカメラなど)に感染し、2024年には最大30Tbpsに達する記録的なDDoS攻撃を複数回実施しました。
- 住宅用プロキシサービスへの転換:最近では、感染機器をDDoS攻撃に使うのではなく、正規ユーザーのIPアドレスを経由して通信を中継する「住宅用プロキシ」として貸し出す形態に変化しています。
- 技術的な悪用:住宅用プロキシは匿名性を提供するために使われますが、Aisuruはマルウェアを更新し、感染機器を容易にプロキシとして利用可能にしました。これにより、AI企業やデータスクレイパーが匿名化された通信経路を確保しています。
- 影響範囲の拡大:感染したIoT機器の所有者だけでなく、ISPのネットワーク全体やその利用者にも通信品質の低下が生じており、欧米のインターネット環境に広範な影響を及ぼしています。
- 対策の必要性:IoT機器のセキュリティ強化やISP間の情報共有、プロキシサービスの正当性確認など、多層的な対策が求められています。
技術的な詳細や背景情報
Aisuruボットネットは、IoT機器に感染したマルウェアが大量のトラフィックを生成し、1Tbpsを超えるアウトバウンドDDoS攻撃を仕掛けることでISPのネットワーク機器に障害を引き起こしてきました。これらの攻撃は、インターネット上のサービスを過負荷にし、利用不能にすることを目的としています。
しかし、近年ボットマスターはマルウェアを更新し、感染機器を「住宅用プロキシ」として貸し出す仕組みを導入しました。住宅用プロキシとは、ユーザーのIPアドレスを経由して通信を中継し、外部からは正規のインターネットユーザーの通信のように見せかける技術です。これにより、匿名性が高まり、検知やブロックが困難になります。
多くの正当な住宅用プロキシサービスは、SDK(ソフトウェア開発キット)を提供し、アプリ開発者がユーザーの同意を得て帯域幅を共有する仕組みを持ちます。しかし、Aisuruのようなサイバー犯罪者はこの仕組みを悪用し、感染機器の帯域幅を無断で利用しています。
また、中国を拠点とするIPideaを中心とした「HK Network」という企業グループが、こうしたプロキシ帯域幅の大規模なリセラーとして活動していることも確認されています。これらのネットワークは、AI向けの大規模データスクレイピングに利用されており、トラフィックの検知やブロックが非常に難しい状況です。
影響や重要性
感染したIoT機器の所有者は、多くが一般家庭や小規模事業者であり、知らぬ間に犯罪活動に巻き込まれています。これにより、デバイスの動作不良やネットワークの遅延が発生することもあります。
さらに、米国や欧州のISPでは、ボットネットによるトラフィックの増加がネットワーク全体の品質低下を引き起こし、感染していないユーザーにも影響が及んでいます。これに対応するため、ISP間でボットネット制御サーバーのブロックリストを共有し、迅速な対応が進められています。
また、AI関連企業や大規模データ収集を行うコンテンツスクレイパーは、住宅用プロキシを利用して匿名化された通信経路を確保し、データ収集を効率化しています。これにより、正規の利用者やサービス提供者にとっては新たなセキュリティリスクとなっています。
まとめ
アイスルボットネットの動向は、サイバー攻撃の形態が単なる破壊的行為から、犯罪収益を目的としたサービス提供へと変化していることを示しています。感染したIoT機器を住宅用プロキシとして悪用することで、匿名性の高い通信環境を提供し、AI企業やデータスクレイパーなどが悪用する新たなリスクが顕在化しています。
この問題に対処するには、IoT機器のセキュリティ強化やISP間の連携、利用者の意識向上が不可欠です。特に、初期パスワードの変更や最新ファームウェアの適用、正当なプロキシサービスの利用確認など、基本的な対策を徹底することが重要です。今後もこのようなボットネットの動向を注視し、適切な防御策を講じる必要があります。
