タワマン丸ごと「兵器」化!?　静かに“数の暴力”で社会インフラを停止へ追い込む、最新型ボットネットの脅威

　2024年末～2025年初頭にかけて、ボットネットによるDDoS攻撃の被害が相次いで報道された。しかも、そのターゲットは航空会社、金融機関、気象情報提供元など、社会に欠かせない重要なインフラだ。

　ボットネットの一部として攻撃を行った中には、今、あなたの家庭や会社で動作しているWi-Fiルーターも含まれるかもしれない。ボットネットとは何なのか？　その攻撃手法はどう変化しているのか？　セキュリティ対策専門家への取材をもとに、状況を整理する。

「寝る間もない」ほど忙しいセキュリティ専門家

「われわれは、呼ばれれば夜間でもセキュリティ対応するのが普通ですが、ここ最近は、まさに寝る間もないほど、各所からの問い合わせや対応に追われています」

　そう語るのは、サイバーセキュリティ企業「グランセキュノロジー」の代表取締役社長を務める横濱友一氏だ。

　同社は公的機関などにも顧客を持ち、サイバー防衛、セキュリティコンサルティング、クラウドセキュリティサービスプラットフォームの導入支援など、幅広いサービスを手掛ける企業だ。CISOにホワイトハッカーを迎えていることに加え、代表を務める横濱氏も教育に関する行政機関の有識者メンバーとなっているほか、学校法人の最高情報セキュリティ責任者なども務めているセキュリティ対策の専門家で、さまざまなセキュリティ関連ニーズに対応できる組織となっている。

　さらに同社は、ASRM（アタックサーフェイスリスクマネジメント）サービスを開発・提供しており、企業や組織の公開情報を監視・管理し、攻撃対象領域を可視化することで、未然のリスク対策を可能にする。このサービスは、脆弱性診断やデジタルフォレンジックといった多層的なアプローチを採用しており、インシデント発生時の迅速な対応を支援する。現在、外部販売に向けて準備がされており、国内の企業や公的機関から注目を集めているようだ。

　専門家ならではの技術的な話題や公表できない具体的な事例なども含むため、今回は、同氏へのインタビューをもとに、公開情報なども付け加えながら、昨今増えているサイバー攻撃の状況、および最新のDDoS攻撃手法とその防衛技術、われわれができる身近な対策（地道だが根本的な解決に必要な唯一の方法）を、筆者の視点で紹介する。

グランセキュノロジー代表取締役社長の横濱友一氏。多忙を極める中、取材に対応していただいた

この状況が普通になる、かもしれない

　2024年末から続いた国内の各種組織に集中したDDoS攻撃は、社会に与えたインパクトが大きかった。

　年末年始の飛行機に乗れない……、決済手続きができない……、気象情報が見られないなど、実際に身近な被害としてDDoS攻撃の影響を実感した人も少なくなかったのではないだろうか？

• 2024年12月26日
  日本航空：DDoS攻撃による同社ルーターのシステム障害で大規模な遅延が発生
• 2024年12月26日
  三菱UFJ銀行：外部からのDDoS攻撃でネットバンキング障害
• 2024年12月29日
  りそな銀行：DDoS攻撃で個人向けのインターネットバンキングで接続しづらい状況
• 2025年1月2日
  NTTドコモ：DDoS攻撃でd払いなどにシステム障害
• 2025年1月5日、9日・10日
  日本気象協会：DDoS攻撃により「tenki.jp」がつながりにくい状況

「tenki.jp」へのDDoS攻撃についての報告（日本気象協会「天気予報専門メディア『tenki.jp』へのDDoS攻撃につきまして」より）

　今回の混乱を引き起こしたDDoS攻撃とは、「Distributed Denial of Service attack」の頭文字をとったもので、日本語に訳すと、分散型サービス妨害（拒否）攻撃となる。

　具体的には、標的となる組織やシステムに対して、大量の通信を送り付けることによって、標的となるサーバーやネットワークをダウンさせる攻撃となる。Cloudflareの解説サイトでは、この状況が分かりやすく交通渋滞に例えられているが、攻撃者が意図的に発生させた大量の通信による渋滞によって、正規の通信（搭乗手続きや決済のための通信）が目的のサーバーへと到達することを妨害されている状況となる。

DDoS攻撃は渋滞に例えて考えると分かりやすい（Cloudflare「DDoS攻撃とは？」より）

▼Cloudflareの解説サイト
DDoS攻撃とは？

　こうしたDDoS攻撃は、世界的にも増加傾向にある。2024年のレポートはまだ公表されていないため、2023年の情報となるが、Radwareが公開している「H1 2024 グローバル脅威分析レポート」によると、ネットワークレイヤー（L3/L4）における、特定の組織への月間のDDoS攻撃数は2023年比で+94％となっており、攻撃量も+150％（500Gbpsを超える大規模な攻撃）と増加している。

Radwareのレポートで紹介されている（Radware「2024 Global Threat Analysis Report Executive Summary」より）

▼Radwareのレポート
Radware 2024 Global Threat Analysis Report

　ちなみに、今、世界中で検知されているDDoS攻撃の状況は、「Radware Live Threat Map」でリアルタイムに確認できる。筆者が確認したタイミングでは、「Attacked（攻撃を受ける側）」の4位に「Japan」が表示されており、地図上の日本列島に対して、さかんに攻撃やスキャンを表す線が到来していることが確認できる。

　Radwareが発表した2024年のDDoS攻撃の状況に関する資料によると、特に狙われやすい業界は、金融機関、テクノロジー企業、病院、行政機関、交通機関などとのことだが、年末年始の状況が特別なことでないことが分かる。

「Radware Live Threat Map」では、現在の攻撃状況を地図上で確認できる

Radwareの資料で解説されている攻撃されやすい組織（Radware「2024 Global Threat Analysis Report Executive Summary」より）

▼Radware Live Threat Mapを見る
Radware Live Threat Map

▼Radwareが発表した2024年のDDoS攻撃の状況に関する資料（Ciscoのイベントでの発表）
2024 Global Threat Analysis Report Executive Summary

なぜDDoS攻撃が増えているのか？

　こうした状況の要因として挙げられるのは、大規模なボットネットの存在だ。

　近年、IoT機器の普及により、家庭用ルーターやネット対応テレビなどが乗っ取られるケースが増え、複数台のボットが組織化された「ボットネット」として猛威を振るっている。攻撃者からの命令によって、家庭内にある普通のIoT機器が、突如としてボットネットのメンバーとなり、互いに連携して交通機関や金融機関などの攻撃対象に一斉に通信を発生させるわけだ。

　こうしたボットネットに組み込まれるIoT機器は、年々増えている。

　なかでも興味深いのは、タワーマンションなどの多数の住居が集中する建物が、ボット化のターゲットになるケースだという。居住者の利便性のためタワーマンションでは検針などに、同一仕様のIoT機器が集中している。こうした機器に脆弱性があれば、数千戸の住居に数十ずつ存在するIoT機器が、一斉にボットに参加することになる。

　攻撃者としては、一棟で数万のボットを手に入れることができる効率のいいターゲットというわけだ。

　また、個人宅や企業内のルーターも相変わらずボットネットの中で多数を占める構成員となっている。

　総務省主導のIoT機器向けのセキュリティ対策向上プロジェクト「NOTICE」で公開されている2024年11月時点でのIoT機器観測状況によると、容易に推測可能なID・パスワードであるIoT機器の種類のうち、55％をルーターなどの通信機器が占めている。

NOTICEで公開されている観測状況ではルーターの設定不備が多く検出されている（NOTICE「最近の観測状況」より）

▼「NOTICE」のIoT機器観測状況
NOTICE 最近の観測状況

　メーカーも出荷時状態で複雑なパスワードを設定する対策を施している上、われわれメディアも家庭用ルーターの管理パスワードの変更やファームウェアのアップデートを呼び掛けているが、それでも古い機器を中心にボット化されやすい機器が残っている状況だ。

　本誌の読者のようにリテラシーの高いユーザーも確実に増えているが、それでも裾野はまだセキュリティに対するリテラシーが高いとは言えない状況となっている。

人間と区別できないふるまい、すでにボットの主流はAIへ

　また、ボットネットによる攻撃手法の巧妙化も、被害の拡大につながる要因のひとつとなっている。

　DDoS攻撃というと、短時間に大量の通信が発生する熾烈な攻撃をイメージするかもしれない。もちろん、攻撃を受ける側の視点で見れば、その通りだ。

　しかし、攻撃をする側、つまりボットネットを構成する個々のボットを見てみると、実はそれぞれは「静かに」活動しているという。

　近年の攻撃は、発見されにくくなるような工夫がなされており、家庭から発信される通常のウェブアクセスなどと同じような間隔で、まばらに、ゆっくりと、ターゲットに向けて通信を発生させる。

　個々のボットは「静か」でも、それが数百、数千、場合によってはもっと集まったボットネット全体でみれば、大量の通信を発生させることができる。

　まさに「数の暴力」だ。

　専門家の観測によると、こうした個々のボットのふるまいは、AIを活用することで、もはや人間と区別するのが難しいほど巧妙になってきており、検知が難しい状況になっているという。

攻撃者もAIを活用する例が増えている。生成型AIを活用して低レベルの攻撃者が上のレベルに達するハードルが下がり、高レベルな攻撃者は広範なターゲットを攻撃することが可能になった（Radware「2024 Global Threat Analysis Report Executive Summary」より）

　例えば、あなたが交通機関のウェブ担当者だったとしよう。ある日突然、数千万ものIPアドレス（端末）から同時に大量のアクセスが発生し、それをボットによる攻撃目的のものと、正規の利用目的の顧客のものと区別して、ボットによるものだけを遮断しなければならないとしたら、途方に暮れてしまうだろう。

　もちろん、専門家は、こうした状況を踏まえた対策を用意している。例えば、対策の一例として「ふるまい」による検知方法がある。外部からの通信の中身をリアルタイムに分析し、データと制御の構成なども判断し、制御用の通信だけが突出して多い場合は、フラッディング攻撃（大量のデータを送り付けることで、サーバーを機能不全に陥れる行為）を狙っていると判断することができる。

　今回、取材対応してくれたグランセキュノロジーでは、AIによるシグネチャの自動生成支援などもRadwareと協働で実現しており、攻撃発生から十数秒以内に、攻撃のみを防ぎ、正規の通信を通過させるフィルタを生成できるソリューションも提供している。

「攻撃者＝家庭のルーター」という状況で攻撃を停止する方法と権限は？

　もちろん、最終的にボットネットによるDDoS攻撃を防ぐには「元を断つ」必要がある。

　しかし、それも近年は難しい状況になっているという。

　例えば、ボットネットでは、組織化されたボットを統括する「C&C」（Command and Control。「C2」とも）というサーバーが存在するのが一般的だった。ボット化された家庭用のルーターは、C&Cと定期的に通信し、攻撃者からの指示を待つという具合だ。

　つまり、C&Cを無効化するという方法がある。市販のUTMなどでは、こうした手法がとられるケースもあり、既知のC&CのIPアドレスをフィルタしたり、C&C向けの通信をIPS/IDSで遮断したりすることが可能だ。

　しかし、近年はP2P型のボットも登場している。つまり、ボット同士が直接通信することで互いに連携し、指示を送りあうことになる。

　この場合、攻撃指示を送っているのは、近所の別の家庭のルーターかもしれないし、そもそも自宅内にあるネットワークカメラかもしれない。元をたどるのは難しく、攻撃者を特定することができない。

ボットネットの種類（JPCERT/CC「ボットネットの概要」より）

　こうした状況の中、政府は「能動的サイバー防御」の検討を進めている。能動的サイバー防御は、例えば、国の重要インフラに対するサイバー攻撃を阻止するため、攻撃を事前に検知し、逆に攻撃元のサーバーに侵入し、攻撃を未然に無害化するセキュリティ対策のことだ。

能動的サイバー防御の概要（「サイバー安全保障分野での対応能力の向上に向けた提言」より）

　ここで、ひとつの疑問が提示されることになる。それは、ボットネットによるDDoS攻撃の場合、「攻撃元は誰なのか？」　という問題だ。

　もちろん、大元の攻撃者はボットネットを組織し、攻撃を指示した集団（サイバー攻撃者グループ）だ。しかし、P2P型のボットネットなどであれば、直接的な攻撃元（のサーバー）は、家庭にある多くのルーターで組織されたP2P型ボットネットということになる。

　このボットネットを停止するためには、誰に対して、どのような権限で、どのような行為が実施されるのか？　慎重な検討が必要になることは間違いない。

　個人的には、そもそも、その対象とならないように、自宅のルーターのセキュリティ対策をしておく方が、プライバシー的にも安心なのではないかと思える。

あなたが加担しているのは一方的な「思想」や「主義主張」

　また、近年の傾向として、そもそも攻撃者の組織も複雑化している状況があるという。

　ボットによる攻撃の目的は、特定の主義・主張を広く知らしめることが多い。もちろん、特定企業の業務を妨害したり、信頼を失墜させたりすることで、結果的に株価下落を狙う市場操作を目的とした攻撃もあるが、活発なのは、政治的・社会的な主張を持つ、いわゆる「ハクティビスト」だ。

ハクティビストのモチベーションは「Ideology」「Politics」「Religion」（Radware「2024 Global Threat Analysis Report Executive Summary」より）

　特定の組織から裏取引的に金銭を奪い取るランサムウェアの被害状況が表に公開されにくいのに対して、ボットネットを使ったDDoS攻撃は大々的に報じられる上、攻撃者も声明を発表することが少なくない。

　こうしたハクティビストのグループは、結集と解散を繰り返したり、名前を変えたりしながら個別に活動してきたが、近年はハクティビストグループ同士が同盟関係を築くことで、機密性の高いチャットアプリなどで情報交換したり、連携して攻撃を展開したりしているという。

ハクティビストの傾向（Radware「2024 Global Threat Analysis Report Executive Summary」より）

　ボットネットによるDDoS攻撃が迷惑なのは、インフラの停止などの社会的な混乱を発生させることでもあるのだが、ハクティビストの一方的な「思想」や「主義主張」の片棒を無理やり担がされることでもある。

　あなたにそんな気がなくても、あなたの家のボット化されたルーターは、戦争の正当化や宗教的な主張をするための抗議活動に参加しているのだ。

　そう考えると、今すぐにでも対策をしたいという気になるのではないだろうか？

具体的にどう対策すればいいのか？

　では、自宅のルーターをボット化させないために、どうすればいいかというと、やはり基本的な対策が重要になる。

1. ファームウェアの更新
   ルーターにある脆弱性を修正し、ボット化されにくくする
2. パスワードの強化
   ルーターの管理者パスワードは「password」や「0123456」などの単純なものは避け、長く複雑なものを設定する
3. 不要な機能の無効化
   リモートアクセス機能やポートフォワードなど使わない機能をオフにする
4. セキュリティソフトの導入
   IoT機器向けのセキュリティツールを活用する
5. ネットワークの監視
   通信を監視し、不審な通信をチェックする
6. 古い製品の買い替え
   サポート切れの製品は最新の製品に買い替える

　これらのうち、家庭用のルーターでは4や5の対策が必ずしも実施できるとは限らない。このため、最低でも1と2、できれば3まで対策しておくことが重要になる。

　また、製品の再起動も効果があるという。ボット化されたルーターは、多くの場合、メモリ上にマルウェアを展開する。このため、電源オン／オフや再起動するだけでも、こうしたマルウェアを排除できる可能性がある。

　ただし、専門家によると、製品によっては、設定保存用に内部にストレージを持つ場合がある上、内部にボタン電池などを搭載し電源オフでも情報を一時的に保持できる製品もある。また、脆弱性が残っていれば、再びボット化される可能性もある。

　このため、再起動は一時的な対策となり、やはりファームウェアの更新やパスワード変更が必要になる。

　重要なのは、他人事と思わないことだろう。前述したように、放置すればハクティビストに加担することになるうえ、将来的に調査対象になるかもしれない。これを避けるためにも、しっかりと家庭用のルーターをメンテナンスしておくことが重要だ。