米司法省(DOJ)はドイツ・カナダ当局と連携し、2026年3月20日、世界最大規模のIoTボットネット4基のC2(指令・制御)インフラを一斉摘発した。標的はAisuru、KimWolf、JackSkid、Mossadの4ボットネット。世界中で300万台以上のIoT(モノのインターネット)デバイスを乗っ取り、30テラビット毎秒(Tbps)を超える記録的なDDoS(分散型サービス妨害)攻撃を繰り返し発動させ、米国防総省のネットワークや通信インフラを標的にし続けていた。今回の作戦にはAkamai、Cloudflare、Google、Amazon Web Services(AWS)など民間企業20社以上も捜査協力した。
30Tbps超を連発した技術基盤の正体
4ボットネットの中で最古かつ最大のAisuru(アイスル)は2024年末に出現し、2025年半ばには記録的なDDoS攻撃を連発し始めた。Akamaiの報告によれば、これらのボットネットは推定100万〜400万台のIoTデバイスで構成されており、30Tbps超・毎秒140億パケット・毎秒3億回のHTTPSリクエストという規模の攻撃を実行できた。Aisuruは2025年12月、通信事業者を標的とした攻撃で31.4Tbpsという史上最高記録を達成し、前月11月にはMicrosoftのAzureクラウドに対して50万IPアドレスから15.72Tbpsの攻撃も発動させている。この規模は大手クラウドプロバイダーが提供するDDoS緩和サービスの処理容量を上回る水準で、DDoS防御の専門家が「クラウドベースの緩和サービスでさえ飽和させうる」と警告していた。
標的が民間企業にとどまらなかった点も見逃せない。国防総省情報ネットワーク(DoDIN)が所有するIPアドレスも攻撃対象に含まれており、FBI単独でなく国防総省監察総監室の防衛刑事捜査局(DCIS)が捜査の主導を担った背景はここにある。「サイバー犯罪者は国境を越えてインフラに侵入する。DCISが国際作戦に参加して国防総省のグローバル拠点を守る理由がそこにある」とDCISサイバーフィールドオフィスの特別捜査官主任Kenneth DeChellis氏は述べた。
「DDoSを売る」サイバー犯罪エコノミーの構造
4ボットネットの運営者は自ら攻撃を仕掛けるだけでなく、感染デバイスへのアクセス権を他のサイバー犯罪者に販売する「サイバー犯罪アズ・ア・サービス」モデルを採用していた。顧客は技術知識なしに大規模なDDoS攻撃能力を借り受け、競合他社や個人への攻撃を発注できる。攻撃の規模や持続時間に応じた料金体系が設定されており、技術的なハードルなしにサイバー攻撃を「購入」できる市場がダークウェブ上で機能していた。
この収益化モデルにより、攻撃コマンドは膨大な件数に達した。Aisuruは20万回超、JackSkidは9万回超、KimWolfは2万5千回超、Mossadは1千回超のDDoS攻撃コマンドを発行した記録が裁判所文書に残されている。被害者の一部は数万ドル規模の損失と復旧費用を報告しており、支払いを強要する恐喝行為も確認されている。
KrebsOnSecurityの調査では、KimWolfの中核的な運営者はカナダ人22歳の男性とされており、主要容疑者の一人はドイツ在住の15歳とされている。史上最大規模のDDoSインフラを支配していた人物の年齢は、このビジネスモデルの「参入障壁の低さ」を端的に示している。高度な技術を持つ構築者が一度インフラを作り上げれば、それを使って攻撃するコストは急激に下がる。今回の4ボットネットはその構造の極限的な表れだ。
ファイアウォールの内側に侵入するKimWolfの感染手法
KimWolfが他のIoTボットネットと一線を画すのは、ファイアウォール内部への侵入手法だ。通常のIoTボットネットはインターネットに直接露出したデバイス——デフォルトパスワードのまま放置されたルーターや未更新のWebカメラ——を狙う。しかしKimWolfとJackSkidは、ファイアウォールで外部から保護された内部ネットワーク上のデバイスにも侵入できた。
KimWolfは2025年10月にAisuruが生み出した派生型で、この新たな内部ネットワーク感染機構を持ち込んだ。具体的な侵入手法の技術的詳細はDOJの法廷文書では非公開だが、2026年1月2日にセキュリティ企業Synthientが関連する脆弱性を公開開示したことでKimWolfの拡散は一定程度抑制された。しかしその技術手法はすでに他のボットネットに模倣され、同じ脆弱なデバイスをめぐる競争が始まっていた。DOJによれば、JackSkidも同様の内部ネットワーク侵入能力を持っていたという。
企業の内部セグメントや家庭内ネットワークに置かれたデバイスは、インターネット側からの直接スキャンにさらされないため、パスワード変更やアップデートが後回しにされやすい。KimWolfが内部ネットワークへの侵入手法を実証したことで、「外から見えないから安全」という運用前提が崩れた。Synthientの公開開示後、同様の手法を採用した後続ボットネットが複数確認されており、技術手法の模倣サイクルが加速している。
作戦成功後も残る3百万台の感染デバイスという現実
今回の作戦が集中したのはC2インフラの破壊だ。ドメインや仮想サーバーの差し押さえにより、感染デバイスが命令を受け取れなくなり、攻撃実行能力を失う。技術的には成功した作戦だが、個々のデバイスから感染を取り除いたわけではない。
問題の核心はここにある。300万台超の感染デバイスは今もインターネット上に接続されたまま存在する。デフォルトパスワードの変更や定期的なファームウェア更新を怠っているルーター、ネットワークカメラ、DVR(デジタルビデオレコーダー)は、新たなC2サーバーを立ち上げた次のボットネット運営者に容易に乗っ取られうる。過去の同種の摘発作戦でも同じパターンが繰り返されてきた。
FBIアンカレッジ支局の特別捜査官主任Rebecca Day氏は「国際的な法執行パートナーと緊密に連携し、大規模なDDoS攻撃実行に使われた犯罪インフラを特定・摘発した」と述べた。しかし今回の作戦が標的にしたのはあくまでC2インフラだ。Akamaiが指摘するように、このような攻撃を可能にした環境——無数のメンテナンス不在のIoTデバイスと、それを使い捨て攻撃インフラに変えるサービスエコノミー——に変化はない。
Aisuruが出現してから摘発まで約1年半で発行された攻撃コマンドの総数は31万6千回超。今回壊滅したボットネット運営者たちが開発した感染拡大技術はすでに「業界標準」として後継者たちに引き継がれており、次の脅威の種は既に蒔かれている。パッチの当たらない3百万台のデバイスが、次のボットネットの招待状だ。
Sources
- United States Attorney’s Office: Authorities disrupt world’s largest IoT DDoS botnets responsible for record breaking attacks targeting victims worldwide
- Akamai: Akamai Helps Authorities Disrupt the World’s Largest IoT Botnets
- KrebsOnSecurity: Feds Disrupt IoT Botnets Behind Huge DDoS Attacks
- Cloudflare: Aisuru-Kimwolfボットネットとは?