エグゼクティブサマリー
2025年第3四半期、DDoS脅威ランドスケープは根本的に変化しました。Aisuruとして知られるMirai派生のボットネット、攻撃生成能力の強化により「TurboMirai」に分類されるこのボットネットは、観測史上最大のボリューム型DDoS攻撃を実行しました。29.7テラビット/秒を69秒間持続し、毎秒141億パケットというピークに達しました。これらの数字は理論上の推計ではなく、本番環境で観測・計測・緩和された攻撃です。
Aisuruを特に憂慮すべき存在にしているのは、その効率性です。従来のボットネットは、意味のあるトラフィック量を生成するために膨大なデバイス数を必要としました。AisuruのTurboMiraiアーキテクチャはこの方程式を劇的に変え、推定100万~400万台の侵害IoT機器からテラビット級の攻撃を可能にします。これはレガシーボットネットが同等の出力に必要としていたデバイス数の一部に過ぎません。この効率の向上は、セキュリティチームが考慮すべき脅威モデルの構造的転換を意味します。
本分析は、Aisuruの技術アーキテクチャ、感染ベクター、攻撃手法の包括的検証を提供します。さらに重要なのは、1分未満で完了し、手動介入の時間を残さない攻撃から企業インフラを守るために必要な防御戦略を示すことです。1分未満・複数テラビット級の攻撃時代が到来しました。
主要所見
脅威の概要
Aisuruは2024年8月に比較的知られていないボットネットとして登場しましたが、急速に進化し、セキュリティ研究者が現在「ボットネットの頂点」と呼ぶ存在となりました。その特徴を理解することは有効な防御を構築するために不可欠です:
TurboMirai分類
ノードあたりの攻撃トラフィック生成を最適化した強化型Mirai亜種。従来のボットネットより小規模なデバイス群でテラビット級攻撃を可能にする。
IoTベースのインフラ
侵害された家庭用ルーター(Totolink、Zyxel、D-Link、Linksys)、CCTVカメラ、DVRシステム、その他のCPE機器が攻撃ネットワークを構成する。
UDPカーペットボンビング
毎秒約15,000の宛先ポートを擬似ランダム化されたパケット属性で標的とし、レガシー防御を回避するシグネチャ攻撃手法。
家庭用プロキシ統合
DDoSプラットフォームと家庭用プロキシネットワークの両方として機能する二重用途能力。他のサイバー犯罪活動向けにトラフィック匿名化を可能にする。
DDoS-for-Hireモデル
1日150ドルから週600ドルまでのサブスクリプション層を持つ商用ボットネット貸出サービス。テラビット級攻撃能力へのアクセスを民主化する。
ゲーム業界への注力
主要標的にはオンラインゲームプラットフォームが含まれるが、商用モデルゆえあらゆる業界が潜在的な標的となる。
脅威インテリジェンス情報源によれば、Aisuru作戦はSnow、Tom、Forkyのコードネームを持つ3人の主要人物によって運営されています。このグループはAisuruチーム結成前にcatddosボットネットで連携していました。運用者は、無辜の企業を標的にしたり、「楽しいから」という理由で破壊的なISP攻撃を行ったりするなどの不安定な行動から、アンダーグラウンドコミュニティで物議を醸す評判を得ています。注目すべきは、政府、法執行、軍、国家安全保障の標的への攻撃は避けていると報告されている点で、運用上のセキュリティ意識と司法管轄上の配慮の可能性を示唆しています。
感染ベクターと拡散
Aisuruの成長軌跡は、現代のボットネットが日和見的な悪用を通じていかに急速に拡大するかを示しています。ボットネット運用者は、Telnet資格情報の悪用やCVE悪用といった伝統的なIoT侵害手法と、より高度なサプライチェーン攻撃を組み合わせます。この多面的アプローチにより、防御側が感染システムを特定・修復しても継続的なデバイス獲得が確保されます。
2025年4月のTotolinkサプライチェーン侵害は転換点となりました。攻撃者はファームウェア更新サーバーを侵害し、アップグレードURLを改ざんして悪意あるペイロードを配布することで、日常的なセキュリティ更新を感染ベクターへと変えました。標準のファームウェア更新を行うあらゆるTotolinkルーターが、知らずにボットネットに加入したのです。この単一の攻撃ベクターだけで、数週間以内にAisuruのインフラに10万を超える新ノードが追加されました。
運用者は活発な脆弱性研究と迅速なエクスプロイト統合を通じてデバイスプールを維持しています。家庭用ルーター、IPカメラ、DVRシステムに影響する新たなCVEが公表されると、Aisuru運用者は素早く兵器化します。この運用テンポにより、ボットネットは継続的にインフラを刷新し、クリーンアップされたデバイスを新たに侵害されたものに置き換えていきます。
悪用された脆弱性
| CVE / エクスプロイト | 影響を受ける機器 | CVSS | 説明 |
|---|---|---|---|
| CVE-2023-28771 | Zyxel ZyWALL、USG、VPN、ATPシリーズ | 9.8 重大 | 不適切なエラーメッセージ処理により未認証リモートコード実行が可能 |
| CVE-2023-50381 | Realtek Jungle SDK | 高 | 多数のルーターOEMに影響するコマンドインジェクション脆弱性 |
| CVE-2013-1599 | D-Link DCS-3411 | 高 | IPカメラのcmd.cgi経由のリモートコード実行 |
| CVE-2017-5259 | Cambium cnPilot | 高 | 無線アクセスポイントの認証バイパス |
| サプライチェーン | Totolinkルーター | 該当なし | 悪意あるペイロードを配布する侵害ファームウェア更新サーバー |
| Telnet悪用 | 複数ベンダー | 該当なし | 家庭用IoT機器全般でのデフォルト資格情報悪用 |
| AMTKカメラRCE | A-MTKカメラ | 高 | cmd.cgiエンドポイント経由のリモートコード実行 |
侵害デバイスのカテゴリ
Aisuruボットネットノードは、複数カテゴリの家庭用および小規模事業所向けネットワーク機器にまたがります:
家庭用ルーター
Totolink、T-Mobile、Zyxel、D-Link、Linksys、Nexxt ― 主にファームウェアが古いブロードバンドアクセスルーター。
IPカメラとDVR
A-MTK、D-Link DCS、LILIN、UNIMO、TBK、Shenzhen TVT ― ネットワーク接続性を持つ監視システム。
その他のCPE機器
異なるブランド製品間で共通の脆弱なコードベースを共有する多様なOEMファームウェア亜種。
攻撃手法
「TurboMirai」分類は、攻撃効率における根本的なアーキテクチャ改善を示しています。従来のMirai亜種はデバイス数に対して線形的に比例するトラフィックを生成しました ― ノードが増えれば帯域も増える、という具合です。Aisuruの最適化はこの関係を変え、各侵害デバイスから大幅に多くの攻撃トラフィックを引き出します。結果として、本来のMiraiコードベースではギガビット級の攻撃しか生成できなかったボットネットから、テラビット級の能力が得られます。
Aisuruはダイレクトパスフラッディングのみに依存しています。設定ミスのDNS、NTP、Memcachedサーバーを悪用してトラフィック量を増幅するアンプリフィケーション攻撃と異なり、ダイレクトパス攻撃はボットネットノード自体から発生します。このアプローチは送信元の特定を容易にしますが ― 防御側は攻撃元IPを識別できます ― 家庭用IP範囲からの正当なトラフィックを巻き添え被害なしに一括ブロックすることが困難になるため、緩和は複雑化します。
シグネチャ攻撃パターンはUDPカーペットボンビングです。特定ポートにトラフィックを集中させるのではなく、Aisuruは送信元ポートとTCPフラグをランダム化しつつ、毎秒約15,000の宛先ポートにパケットを分散させます。これはポートやプロトコルパターンに依存する従来のフィルタリングルールを打ち破ります。有効な防御には、意図的にランダム化されたパケット属性にもかかわらずカーペットボンビングシグネチャを識別できる行動分析が必要です。
攻撃特性
| 特性 | 仕様 | 防御上の意味 |
|---|---|---|
| パケットサイズ | 540~750バイト(中) | 小パケットフィルタを起動させずに帯域飽和を最適化 |
| ポート標的化 | 約15,000ポート/秒 | カーペットボンビング手法がポートベースフィルタリングを破る |
| 送信元ポート | 擬似ランダム化 | 単純な送信元ポートフィルタリングルールを防ぐ |
| TCPフラグ | ランダム化された組み合わせ | TCPフラグベースの検知シグネチャを回避 |
| 攻撃継続時間 | 通常30~69秒 | 短いバーストには秒未満の検知・緩和が必要 |
| ピーク量 | 1+ Tbpsが日常、29.7 Tbpsが最大 | 膨大な緩和能力を必要とする |
| ベクター | 単一ベクターのダイレクトパス | アンプリフィケーションなし ― トラフィックはボットネットノードから発生 |
2025年攻撃タイムライン
Aisuru攻撃は破壊的なため、直接の標的でなくともインターネットサービスプロバイダーを混乱させ得ます。1.5 Tbpsを超える攻撃は、顧客機器がボットネットの一部となっているブロードバンドプロバイダーに巻き添え被害をもたらしました。2025年10月のゲームプラットフォーム攻撃は、AT&T、Comcast、Verizon、T-Mobile、Charterを含む米国の主要ISPに一時的影響を及ぼしました。これらは標的としてではなく、自社ネットワーク上の感染顧客機器から発生した膨大な悪意あるトラフィックの搬送者として影響を受けました。
二重用途ビジネスモデル:DDoS + 家庭用プロキシ
DDoS-for-Hireは活発な攻撃時のみ収益を生みます。この限界を認識したAisuru運用者は、2025年後半に家庭用プロキシサービスへ事業を拡張しました ― ボットネットインフラを継続的に収益化するビジネスモデルです。侵害された家庭用ルーターは現在、二重の用途を果たします:DDoSキャンペーン中は攻撃プラットフォーム、キャンペーン間はプロキシ顧客向けの匿名化ノードです。
プロキシサービスは、異なるユースケースを持つ異なる顧客層に訴求します。クライアントは家庭用IPアドレス経由でトラフィックを中継するために料金を支払い、正当な家庭ユーザーのような外観を得ます。この匿名化により、レート制限を回避する資格情報詰込み攻撃、ボット検知を迂回するWebスクレイピング、IPレピュテーションブラックリストを避けるスパムキャンペーン、家庭ネットワーク発に見えるフィッシングインフラが可能になります。複数テラビット級DDoS攻撃に参加する同じ感染ルーターが、数時間後に不正ログイン試行を中継するかもしれません。
セキュリティ研究者はこの重複を確認しています。商用家庭用プロキシプールに登場するIPアドレスが、既知のAisuruボットネットのコマンド・アンド・コントロール通信と一致しているのです。この収束は、より強靱な脅威を生み出します:たとえDDoS-for-Hireの需要が減少しても、プロキシ収益によりボットネットの継続的な維持・拡張が正当化されます。運用者は、同じ侵害インフラを悪用する複数の収益チャネルを持つ、持続可能な犯罪企業を構築したのです。
技術的進化(2025年3月)
2025年3月、Aisuru運用者はボットネットマルウェアに重要な技術更新をリリースし、継続的な開発投資を実証しました:
強化された暗号化
バージョン1:C2通信向けにECDH-P256鍵交換とChaCha20暗号化を採用。DNS-TXTデコードはbase64+XORに変更。
簡素化されたプロトコル
バージョン2:性能のためECDH-P256鍵交換を削除。整合性検証用にxxhashを改変。
解析対策
Wireshark、VMware、VirtualBox環境の検知。telnetd、dhclientを装うプロセス名スプーフィング。
永続化技術
Out-of-Memory Killer回避により稼働時間を延長。サンプル文字列復号用に改変RC4。
業界別影響評価
| 業界 | 攻撃頻度 | 典型的な影響 | リスクレベル |
|---|---|---|---|
| オンラインゲーム | 非常に高い(主要標的) | サービス停止、プレイヤー離反、売上損失 | 重大 |
| クラウドサービスプロバイダー | 高い | マルチテナント障害、SLA違反 | 重大 |
| インターネットサービスプロバイダー | 高い(巻き添え) | ネットワーク輻輳、顧客苦情 | 高 |
| 金融サービス | 中 | 取引失敗、規制対応 | 重大 |
| Eコマース | 中 | 決済失敗、カート放棄 | 高 |
| ヘルスケア | 低(回避) | 運用者のポリシーにより限定的な標的化 | 中 |
| 政府 | 非常に低い(回避) | 運用者はこれらの標的を避けると報告される | 低 |
企業の緩和戦略
Aisuruクラスの攻撃を防御するには、リアクティブからプロアクティブで自動化された防御への根本的な転換が必要です。手動起動を必要とする従来のオンデマンドDDoS緩和サービスでは不十分です ― 攻撃は1分未満で完了し、人間の介入の時間がありません。
常時稼働の自動保護を導入
数分ではなく数秒以内に検知・対応する自動DDoS緩和を実装します。組織が秒以内に検知・緩和できなければ、Aisuruクラスの攻撃はサービス停止を引き起こします。
十分な緩和能力を確保
DDoS保護が複数テラビット攻撃に対応できることを検証します。ギガビット級脅威向けに設計されたレガシーソリューションは、Aisuruの日常的な1+ Tbps攻撃には不適切です。
すべてのネットワークエッジを計装
顧客集約点やピアリング接続を含むすべてのネットワークエッジに検知・緩和を導入します。インバウンドとアウトバウンド/クロスバウンド両方のDDoS検知を有効にします。
レート制限と行動分析を実装
レート制限、ジオフェンシング、行動分析を設定します。Aisuruの擬似ランダム化属性には、シグネチャベースのフィルタリングではなく行動ベース検知が必要です。
ネットワーク上のIoT機器を保護
すべてのIoT機器を監査・パッチ適用します。不要なサービスを無効化し、デフォルト資格情報を変更し、IoT機器を重要インフラからセグメント化します。
アウトバウンド攻撃検知を有効化
ネットワーク上の機器がAisuru攻撃に参加していないかを検知します。加入者情報とのトレースバックと相関により、侵害機器の特定と修復が可能になります。
重要な防御要件
観測されたAisuru攻撃の特性に基づき、有効な企業防御には以下が必要です:
秒未満の検知
最初の悪意あるパケット到達から数ミリ秒以内に攻撃パターンを識別する行動異常検知。
ハードウェアアクセラレーション
複数テラビット攻撃負荷下でも性能劣化なくラインレートでパケット処理・フィルタリング。
多層保護
包括的カバレッジのため、L3/L4ボリュームフィルタリングとL7アプリケーション層分析の連携。
分散型緩和
攻撃を発生源近くで吸収するための地理的に分散したスクラビング能力。
行動分析
ランダム化属性にもかかわらずAisuruのカーペットボンビング手法を識別するパターン認識。
自動エスカレーション
手動介入なしに攻撃の深刻度に基づいて緩和強度を段階的に調整する応答。
TR7がAisuruクラスの脅威からどのように保護するか
TR7のDDoS保護プラットフォームは、次世代のボリューム型攻撃に対する防御のために設計されています:
即時検知と緩和
行動パターン検知が数ミリ秒で攻撃パターンを識別し、3秒未満で緩和を自動展開 ― 69秒のAisuru攻撃に不可欠。
ハードウェアアクセラレーションフィルタリング
ラインレートのパケット処理により、性能劣化やサービス影響なく複数テラビットのトラフィック量に対応。
行動パターン認識
高度な分析により、シグネチャベース防御を回避するカーペットボンビングや擬似ランダム化攻撃パターンを検知。
適応型しきい値
組織固有のベースラインと、リアルタイムのトラフィック状況や脅威レベルに基づく動的しきい値調整。
多層防御
L4ボリュームフィルタリングとL7アプリケーション保護の連携により、可能な限り早い段階で攻撃を阻止。
サービス隔離
ハードウェアおよびソフトウェアの隔離により、1つのサービスへの攻撃が他に影響しないよう保証し、巻き添え被害を防止。
セキュリティ専門家は、Aisuruクラスのボットネットへの防御にはエコシステム全体での連携が必要だと強調しています。ASN間FlowSpecの実装、アウトバウンドトラフィック監視、協調的なテイクダウンの取り組みは、IoTボットネット脅威の解決に対するベンダー中立的なアプローチを提供します。解決策は存在しますが ― エコシステム全体で展開された場合にのみ機能します。個別企業の防御は必要ですが十分ではありません。通信業界・ISPコミュニティは、送信元アドレス検証、侵害機器の修復、ボットネットインフラの破壊について連携する必要があります。
侵害指標(IOC)リソース
脅威インテリジェンスの統合は、Aisuruに対するプロアクティブな防御に不可欠です。複数の研究機関が、マルウェアハッシュ、コマンド・アンド・コントロールインフラ、既知のボットネットノードIPアドレスを網羅するIOCコレクションを維持しています。これらの指標をファイアウォール、SIEMプラットフォーム、ネットワーク監視ツールに組み込むことで、ネットワーク上のAisuru関連活動を早期に検知できます。
最も権威あるIOC情報源には、マルウェアサンプルとC2サーバーアドレスを文書化したQiAnXin XLabの技術分析、Aisuru関連ファイルハッシュのVirusTotalコレクション、Center for Internet Securityの検証済みIPブロックリストが含まれます。脅威インテリジェンスプラットフォームを持つ組織では、これらのフィードを継続的に取り込むよう自動化できます。手動統合の場合はボットネットの進化に応じた定期的な更新が必要です。
ただしIOCベースの検知には、Aisuruに対する固有の限界があります。2025年3月のマルウェア更新は、静的検知を回避しようとする運用者の意志を示しました ― 新しい暗号化スキーム、改変ハッシュ、ローテーションされたインフラが既存指標を無効化します。IOCは既知の脅威を識別するために有用ですが、主要な防御としては不十分です。Aisuruの攻撃パターンを認識できる行動検知が、より信頼できるアプローチであり続けます。
よくある質問
Aisuruは、感染デバイス100万~400万台で構成されるTurboMiraiクラスのIoTボットネットです。主に家庭用ルーター、CCTVカメラ、DVRシステムから成ります。2024年8月に初めて確認され、記録された最大級のDDoS攻撃、ピーク29.7 Tbps、毎秒141億パケットを担うまでに成長しました。
Aisuruは2025年4月、運用者がTotolinkルーターのファームウェア更新サーバーを侵害したサプライチェーン攻撃により急速に成長しました。更新を行うあらゆるルーターが悪意あるコードをダウンロードし、ボットネットは数週間以内に10万台を超えました。Zyxel、D-Linkその他の家庭用機器の既知CVE悪用と相まって、ボットネットは数百万ノード規模にまで拡大しました。
Aisuruは主に中サイズのパケット(540~750バイト)による、ダイレクトパスのUDP、TCP、GREパケットフラッドを用います。シグネチャ技術は「UDPカーペットボンビング」で、毎秒約15,000の宛先ポートを擬似ランダム化された属性で標的とします。HTTPアプリケーション層DDoS機能や、トラフィック匿名化のための家庭用プロキシサービスも組み込まれています。
Aisuruに対する防御には、秒未満の検知・緩和能力を備えた自動かつ常時稼働のDDoS保護が必要です。主要施策には、ハードウェアアクセラレーションによる緩和の導入、アウトバウンド検知を含む包括的なネットワークエッジ保護の実装、プロアクティブブロックのための脅威インテリジェンス活用、そしてネットワーク上のIoT機器のパッチ適用と適切なセキュリティ保護の徹底があります。
Aisuruの運用者は主にオンラインゲームプラットフォームを標的とし、観測された攻撃の大半はゲーミング関連です。しかしボットネットはDDoS-for-Hireサービスとして運用されているため、あらゆる業界が潜在的な標的となります。金融サービス、クラウドプロバイダー、ISPも重大な攻撃を経験しています。なお、運用者は政府、法執行、軍関連の標的への攻撃は避けていると報告されています。
Aisuru攻撃が困難なのは、1分未満(通常30~69秒)で完了し、膨大な緩和能力(日常的に1+ Tbps)が必要で、シグネチャベース検知を回避する擬似ランダム化属性を使用し、直接の標的でなくともISPに巻き添え被害を与え得るためです。手動起動の従来のオンデマンド緩和サービスでは不十分です。
結論
AisuruはDDoS攻撃の姿を再定義しました。前世代のボリューム型脅威は秒間ギガビットで計測されました ― Aisuruは日常的に秒間テラビットで動作します。前世代は数分から数時間継続しました ― Aisuruは69秒未満で完了します。前世代は防御側に対応時間を与えました ― Aisuruは与えません。これらは段階的な改善ではなく、リアクティブな防御を陳腐化させる脅威ランドスケープの構造的変化を意味します。
ビジネスモデルが永続性を保証します。サプライチェーン侵害が効率的なデバイス獲得を提供します。CVE悪用が、古い感染が修復される中でデバイスプールを維持します。家庭用プロキシサービスが攻撃間の継続的収益を生みます。2025年3月のマルウェア更新はプロフェッショナルな開発慣行を実証しています。これは日和見的な犯罪作戦ではなく、持続可能な経済性と長期的なインフラ投資を持つ組織的な企業です。
DDoSへの備えを評価する組織にとって、問いは単純です:あなたの防御は数秒以内にテラビット級攻撃を検知・緩和できるか?答えがノーであれば、Aisuruクラスの攻撃はサービス停止を引き起こします。解決策には、十分な能力を備えた自動・常時稼働の保護、カーペットボンビングパターンを識別できる行動検知、そして ― 完全な防御態勢のため ― アウトバウンド攻撃に参加する侵害IoT機器の検知が必要です。脅威は進化しました。防御もそれに応じて進化しなければなりません。
参考文献と情報源
記録的な29.7 Tbps攻撃、14.1 Bppsパケットレート、2025年Q3緩和データを含む攻撃統計の主要情報源。https://blog.cloudflare.com/ddos-threat-report-2025-q3/
AisuruとTurboMiraiクラスボットネットの技術分析。攻撃手法、侵害機器の種類、緩和推奨事項を含む。https://www.netscout.com/blog/asert/asert-threat-summary-aisuru-and-related-turbomirai-botnet-ddos
暗号化更新、感染ベクター、運用者帰属を含むAisuruマルウェアの詳細技術分析。https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/
DDoS中心ボットネットから家庭用プロキシサービスプロバイダーへのAisuru進化のカバレッジ。https://krebsonsecurity.com/2025/10/aisuru-botnet-shifts-from-ddos-to-residential-proxies/
2025年10月のAzureインフラに対する15.72 Tbps攻撃のドキュメント。https://techcommunity.microsoft.com/blog/azureinfrastructureblog/defending-the-cloud-azure-neutralized-a-record-breaking-15-tbps-ddos-attack/
Aisuru攻撃事案のニュースカバレッジと技術サマリー。https://thehackernews.com/2025/12/record-297-tbps-ddos-attack-linked-to.html
テラビット級DDoS攻撃から保護
TR7のDDoS保護プラットフォームは、Aisuruクラスの脅威に対する自動・秒未満の検知と緩和を提供します。ハードウェアアクセラレーションフィルタリングと適応型行動分析により、次世代のボリューム型攻撃からインフラを保護します。
DDoS保護を見る