マイクロソフト、クラウド史上最大のDDoS攻撃を阻止

Windowsオペレーティングシステムの開発会社であるマイクロソフトは月曜日、10月24日に同社のクラウド上で検出されたサービス拒否（DDoS）攻撃は停止されたと発表した。

Microsoft のブログによると、DDoS 攻撃はオーストラリアの単一のエンドポイントを標的とし、1 秒あたり 15.72 テラビット (Tbps)、1 秒あたり約 36 億 4000 万パケット (pps) に達したという。

この攻撃は、AISURUとして知られるTurboMiraiクラスのモノのインターネット（IoT）ボットネットによるものであることが tracされ、セキュリティ会社クレブソンは、このボットネットが米国のインターネットサービスプロバイダーであるAT&T、ベライゾン、コムキャストをほぼ1年間侵害していたことを発見した。 

マイクロソフトは を明らかにしなかったdentが、重大な混乱が発生する前に自動化された防御機能により攻撃を無力化したことを確認した。

AISURUは記録破りの攻撃を実行できたかもしれない

Microsoftが公開した分析によると、この攻撃は特定のパブリックIPアドレスを狙った極めて高レートのUDPフラッド攻撃を利用していた。「この攻撃は、特定のパブリックIPアドレスを標的とした極めて高レートのUDPフラッド攻撃で、様々な地域にまたがる50万以上のソースIPから実行されました」と、Azureセキュリティ担当シニアプロダクトマーケティングマネージャーのショーン・ウェイレン氏は説明した。

Azureのアナリストは 述べて 簡素化し、ISPが効果的に緩和策を実施できるようにするために、最小限の送信元偽装とランダム化された送信元ポートが使用されたと tracいる。

AISURUは、米国およびその他の国の住宅用ISP内のdentた家庭用ルーター、カメラ、DVRシステムを悪用します。QiAnXin XLabは、このボットネットが約30万台の感染デバイスを支配していると推定しています。 

「Aisuru の所有者は、これらの脆弱なデバイスをインターネットで継続的にスキャンし、分散型サービス拒否 (DDoS) 攻撃に使用することで、大量のジャンクトラフィックで標的のサーバーを圧倒している」と KrebsOnSecurity の研究者は指摘している。

アメリカのAIOpsおよびテクノロジー企業Netscoutも、AISURUが政府、軍、法執行機関の監視を避けるため、顧客を限定して活動していることを発見しました。観測された攻撃の大部分はオンラインゲームプラットフォームに関連しており、大量のトラフィックが他のネットワークに二次的な混乱を引き起こす可能性があります。

「アウトバウンドおよびクロスバウンドのDDoS攻撃は、インバウンド攻撃と同様に大きな混乱を引き起こす可能性があります。現在、ISPはネットワークからテラビット/秒以上のアウトバウンド攻撃を日常的に受けており、運用上の問題を引き起こす可能性があります」と、Netscoutのエンジニアであるローランド・ドビンズ氏は推測しています。

AzureのWhalen氏はまた、このボットネットは認証情報スタッフィング、AIによるウェブスクレイピング、スパム送信、フィッシングを容易にしdent居住 型を運用しておりdent、攻撃規模は20Tbpsを超えていると述べた。

2025年のAISURUボットネット被害はこれまでのところ

5月、サイバーセキュリティブログKrebsOnSecurityは、記録に迫る6.35Tbpsの攻撃を報告しましたが、これはGoogleのProject Shieldによって阻止されました。その後、AISURUは数ヶ月以内に11Tbpsの攻撃で記録を更新し、9月下旬には攻撃規模は22Tbpsを超えました。 

によると、このボットネットは、極端なDDoSトラフィックを測定する専用サーバーに29.6Tbpsのジャンクデータを送信したという レポート セキュリティジャーナリストのブライアン・クレブス氏の 

ブリスベンのグローバル・セキュア・レイヤー（GSL）の主席セキュリティエンジニア、スティーブン・ファーガソン氏は、5万台以上のマインクラフトサーバーをサポートするDDoS防御サービスTCPShieldが10月8日に15Tbpsを超えるジャンクデータ攻撃を受けたと語った。 

「このため数週間にわたりマイアミの外部港で深刻な渋滞が発生しており、天気図でもそれが公に示されていました」とファーガソン氏は語った。

この攻撃により、上流プロバイダーであるOVHのマイアミポートで深刻な混雑が発生し、同社はTCPShieldのサービスを停止せざるを得なくなりました。しかし、ネットワークは現在GSLセキュリティサービスによって完全に保護されていると明らかにしました。これは、小規模ISPには予算的に負担できない可能性のあるサービスです。

が DDoS攻撃は 、悪意のあるトラフィックの量は、無関係なサービスや周辺エリアの接続にも影響を及ぼします。多くの組織は、露出や被害から保護するための専門的な緩和ツールを欠いているため、このような攻撃に耐えるだけのリソースがありません。

Microsoftの今回の情報開示は、NetscoutによるEleven11（別名RapperBot）に関する報告に続くものです。Eleven11は、TurboMiraiクラスのIoTボットネットです。2月下旬から8月の間に、Eleven11は約3,600件のDDoS攻撃を仕掛けたと推定されています。

Eleven11のコマンドアンドコントロール（C2）サーバーの一部は、ICANNとはdent した代替DNSルートであるOpenNICの一部である「.libre」トップレベルドメイン（TLD）に登録されていました。マルウェア分析により、ボットネットはICANNのジェネリックトップレベルドメイン（.liveおよび.info）を使用しており、C2サーバーのIPアドレスは暗号化されて記録されていることも明らかになりました。 

Netscout は 2024 年のサンプルを引用し、Eleven11 のソースコードが成熟し、ハードコードされた IP ではなくドメイン名を使用して C2 インフラストラクチャを動的に再構成できるようになったことを示した。