Packet Pilot X (Twitter)
2025-11-06

CloudflareがAisuruボットネットをトップドメインリストから削除

Cloudflareは、Aisuruボットネットに関連するドメインが同社のトップドメインリストでAmazonやApple、Google、Microsoftを上回る状況に対処するため、これらのドメイン名を削除しました。Aisuruは、数十万のIoTデバイスを利用した急成長中のボットネットで、DDoS攻撃を行う能力を持っています。CloudflareのCEOは、Aisuruのオペレーターがボットネットを利用して悪意のあるドメインのランキングを上げ、同時に同社のDNSサービスを攻撃していると述べています。Cloudflareは、悪意のあるドメインを部分的に赤字化し、ランキングの上部に警告を追加しました。

メトリクス

このニュースのスケール度合い

10.0 /10

インパクト

8.5 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • Aisuruボットネットは、数十万のIoTデバイスを利用して急成長しており、DDoS攻撃を行う能力が高まっています。
  • Cloudflareは、Aisuruのドメインがトップドメインリストに表示されることによるセキュリティやブランドの混乱を防ぐため、ドメイン名を赤字化しました。

社会的影響

  • ! Aisuruボットネットの活動は、IoTデバイスのセキュリティに対する懸念を高めています。
  • ! Cloudflareのドメインランキングが悪意のあるドメインを含むことで、信頼性の低下が懸念されています。

編集長の意見

Aisuruボットネットの急成長は、IoTデバイスのセキュリティがいかに脆弱であるかを示しています。特に、家庭用ルーターや監視カメラなど、一般的にセキュリティ対策が不十分なデバイスが多く、これらがボットネットの一部として利用されることは深刻な問題です。Cloudflareの対応は、悪意のあるドメインがトップドメインリストに表示されることによるブランドの混乱やセキュリティリスクを軽減するための重要なステップです。しかし、根本的な解決には、IoTデバイスのセキュリティ強化が不可欠です。企業や個人は、デバイスの設定を見直し、最新のセキュリティパッチを適用することが求められます。また、Cloudflareのランキングシステムの改善は、今後の信頼性向上に寄与するでしょう。専門家は、悪意のあるドメインを完全に排除するための新たな基準を設けることが必要だと指摘しています。これにより、ユーザーが安全なインターネット環境を享受できるようになることが期待されます。

解説

AisuruボットネットがCloudflareの「トップドメイン」を汚染—可視化指標の信頼性とDDoS混合攻撃の時代に備えるべきです

今日の深掘りポイント

  • ボットネットが「人気ドメイン」ランキングそのものを攻撃対象に変えた事案です。可視化指標(ランキング)は意思決定に直結するため、汚染が攻撃効果を増幅します。
  • AisuruはDNSクエリを大量生成して悪性ドメインを上位化しつつ、CloudflareのDNSを狙ったDDoSを同時展開したと報じられています。可視化汚染と可用性破壊のハイブリッド運用です。
  • レピュテーションや人気度をベースとする検知・優先度付けは、機械生成トラフィックで相対化されます。センサの「質(ユニーク性・健全性)」を組み込んだ重み付けが必須です。
  • DNS起点の情報戦(選挙・紛争・金融イベント)で、ランキングの「権威」を悪用した誘導・誤認が現実的な脅威になります。事業継続計画(BCP)に「信頼指標の劣化」を明示的に含めるべきです。
  • 攻撃由来クエリ比率・ASN集中度・NXDOMAIN率などの健全度メトリクスで、人気度を補正することが運用側の当面の現実解です。

はじめに

Cloudflareが公開する「トップドメイン」リストに、Aisuruボットネットに関連するドメインがAmazonやApple、Google、Microsoftを上回る形で出現しました。Cloudflareはこれを受け、当該ドメインをランキングから削除・名称を部分的に赤字化し、ページ上部に警告を掲示したと報じられています。CloudflareのCEOは、Aisuruのオペレーターがボットネットを使って悪性ドメインのランキングを引き上げる一方、同社のDNSサービスに対する攻撃も仕掛けていたと述べています。Aisuruは数十万規模のIoTデバイスを動員する急成長のボットネットで、DDoS能力を備えています。関連するDNSクエリの52%が米国内から発生しているとの観測も出ています。

本件は、人気度ランキングという「信頼のインフラ」が攻撃対象になり得ることを突き付ける出来事です。SOCやTIの現場は、ドメイン人気度をシグナルとして用いる運用のリスク評価とフェイルセーフ設計を、早急に見直すべき局面に入っています。

参考情報:

深掘り詳細

事実(報道・公開情報で確認できる範囲)

  • Aisuru関連の複数ドメインがCloudflareのトップドメインリストで大手プラットフォーマを上回る順位に浮上し、Cloudflareはそれらをリストから削除し、名称を部分的に赤字化・警告を表示する対応を取ったと報じられています。
  • CloudflareのCEOは、Aisuruの運用者がボットネットで悪性ドメインのランキングを引き上げつつ、CloudflareのDNSサービスに対する攻撃を展開したと述べています。
  • Aisuruは数十万台規模のIoTデバイスを取り込んだボットネットで、DDoS攻撃能力を持つとされています。
  • Aisuru関連ドメインへのDNSクエリのうち、約半数が米国から発生しているとの観測が併記されています。
  • CloudflareのトップドメインはDNSクエリ量を基に可視化される性格上、機械トラフィックに引きずられる設計上の脆さが露呈しました。
  • 上記のポイントはKrebsOnSecurityの報道に基づくもので、現時点で筆者はCloudflareの一次資料に直接当たれていません。一次情報に基づく追加検証は今後の課題です。

編集部のインサイト(示唆・解釈)

  • ランキングそのものが攻撃面になる時代です
    • 「人気=安全・関心の高さ」という短絡を狙い、人気指標をハイジャックすることで、悪性ドメインやメッセージの正当性を演出できます。これは従来のSEOポイズニングのDNS版で、セキュリティ製品や企業の検知パイプラインにまで副作用が及ぶのが厄介です。
  • クエリ量は信号、健全度は文脈です
    • 生のクエリ量はボットで容易に水増し可能です。ユニーク解決主体の多様性、ASNの集中度、クエリの時系列エントロピー、NXDOMAIN率、TTL・レスポンスコードの分布など「健全度の文脈」を加味しない人気指標は、攻撃に弱いです。
  • 「観測コストの安さ」が攻撃を後押ししています
    • IoTボットはDNSクエリ生成の単価が極めて低く、DoSの副産物としてランキング汚染を継続的に引き起こせます。攻撃者は同一ボット基盤で「人気の演出」と「可用性破壊」を同時に達成可能です。
  • 地理集中(米国比率の高さ)は解釈に注意が必要です
    • 52%という地理的偏りは、実際の感染分布、DNSリゾルバの利用分布、トラフィックの出口(NAT/プロキシ)分布など複数要因の合成結果であり、原義の“人気地域”や“支持基盤”と混同すべきではないです。可視化は現実の一側面に過ぎません。

脅威シナリオと影響

以下はMITRE ATT&CK(Enterprise)に沿った仮説ベースのシナリオです。技術的側面に焦点を置き、影響はビジネス・運用の言葉で整理します。

  • シナリオ1:ランキング汚染を梃子にしたフィッシング・ブランド偽装の正当化

    • 想定チェーン(仮説)
      • 資源調達: T1583.001(ドメイン取得)で大量の関連ドメインを用意
      • 初期アクセス拡大: T1190(公開サービスの脆弱性悪用)やT1110(総当たり)でIoT機器を侵害しボット化
      • C2・運用: T1071(アプリ層プロトコル)/ T1568(動的解決/DGA)で指令
      • 影響: T1498(Network DoS)で同時に可用性を脅かし、ランキング汚染で「人気のある正規サイト」を装ってT1566(フィッシング)を高い到達率で展開
    • 影響
      • ゲートウェイやセキュリティ製品が「人気度」を信頼補助に使う場合、誤判定や優先度誤りが生じ、被害拡大につながります。

  • シナリオ2:DNSインフラの疲弊と業務継続の連鎖断

    • 想定チェーン(仮説)
      • ボットによる権威/再帰DNSへのT1498.002(反射/増幅)やT1498.001(直接DoS)
      • 監視/運用系の可視化ダッシュボード・ランキングも同時に汚染し、運用判断を攪乱
    • 影響
      • 社内・顧客向けSaaS解決失敗、メール・API連鎖障害、CSIRTの状況把握遅延。DDoS対策だけでなく“判断支援系の耐タンパ性”が新たな単一障害点になり得ます。

  • シナリオ3:選挙・紛争期の情報戦コンボ

    • 想定チェーン(仮説)
      • T1583(インフラ取得)で情報サイト風ドメイン群を準備、ボットでランキング上位化
      • 同時にニュース/公的サイトへT1498(DoS)で可用性を削ぐ
    • 影響
      • 「誰が人気か」「どのサイトが信用されているか」の指標が歪められ、意思決定と世論形成を誤誘導します。セキュリティだけでなく広報・ガバナンスの領域まで被害が波及します。

補足:ランキング汚染それ自体はATT&CKの直接的なテクニックとしては定義されていませんが、T1498(DoS)やT1565(データ改ざん:指標やログの操作に相当)と複合的に現れます。運用側は“攻撃が当たる面”を可用性系だけでなく「信頼指標」まで広げて捉える必要があります。

セキュリティ担当者のアクション

  • レピュテーション・人気度の使い方を設計から見直す
    • ドメイン人気度は単独では安全性シグナルに使わない方針に切り替えるか、最低でも以下の健全度で重み付けすることを推奨します。
      • ユニークAS数・国別多様性(特定AS/国への極端な集中は減点)
      • クエリの時系列エントロピー(スパイク/パターン整形は減点)
      • NXDOMAIN率・サブドメイン爆発の有無(DGA/ワイルドカード濫用の兆候)
      • 解決先IPのボラティリティ・フラックス(頻繁な解決先変更は減点)
  • DNS監視を「量」から「質」へ
    • リゾルバ/権威DNSのメトリクスに以下を追加し、アラートやSLOに組み込むことを推奨します。
      • クエリ集中度(上位NドメインへのHHI、ASN別分布)
      • クエリ成功率と応答コード比率の急変
      • クライアントの指紋(EDNS Client Subnet等の範囲で可能な限り)とボット様相関
  • IoT面の基本防御を怠らない
    • 資産棚卸しとネットワーク分離(VLAN/MACベース制御)、デフォルト資格情報の廃止、ファーム適用、不要なアウトバウンド(特に外部DNS/HTTP)をEgressで制限します。IoTのDNSは社内リゾルバに固定し、外部直行を遮断するだけでもボット化後の拡散・参加を抑制できます。
  • DDoS/可視化汚染を前提にしたBCP
    • 標準運用で参照する外部ランキングや「安全な既知ドメイン」リストに対し、信頼劣化時のフェイルセーフを用意します(手動承認フロー、TIチームの内製評価、別系統シグナルとのクロスチェック)。
    • DNSレジリエンス強化(マルチプロバイダ権威DNS、Anycast、DNSSEC維持、RRL/キャッシュポイズニング対策)。外部再帰リゾルバ依存のSaaSは代替経路・ベンダ切替手順をランブック化します。
  • TI(Threat Intelligence)の反応速度を上げる
    • ランキング急浮上ドメインの「健全度スコアリング」を内製し、製品の許可/優先度に反映。AS集中・地理集中を“人気”ではなく“異常”として扱う運用へ移行します。
  • 社内ガバナンスと広報の連携
    • 情報戦コンテキストでは、SOC単独では対処不能です。広報・法務・リスク管理と連携し、「指標の汚染」を含むインシデント通報・説明フレームを準備します。

最後に、本件は「観測するためのメータ」が攻撃対象になった典型例です。可用性の防御だけでなく、意思決定に使う“メータの耐タンパ性”を設計要件に昇格させることが、次の混合型攻撃に備える最短経路です。現場は今日から、人気度やレピュテーションに“健全度の重石”を載せる運用に舵を切るべきです。

背景情報

  • i Aisuruボットネットは、IoTデバイスの脆弱性を利用して数十万台のデバイスを感染させ、DDoS攻撃を行う能力を持っています。2024年に登場したこのボットネットは、30テラビット毎秒に達する攻撃を実行できるようになっています。
  • i Cloudflareは、DNSクエリのボリュームに基づいてドメインのランキングを行っていますが、Aisuruのドメインが上位に表示されることは、攻撃者が大量のリクエストを生成しているためです。これにより、Cloudflareはランキングシステムの改善を計画しています。
Packet News 一覧へ戻る