15.72TbpsのUDPフラッドをMicrosoftが自動緩和—AISURU/TurboMirai系IoTボットネットが示した帯域戦の現在地です

今日の深掘りポイント

• 物理帯域の飽和を狙うL3/4のUDPフラッドは、WAFやHTTP対策中心のスタックを素通りしやすく、クラウド・キャリア側の上流緩和がものを言います。単一IP狙いでも、15Tbps級は周辺サービスの共倒れを誘発し得ますです。
• 攻撃源30万台規模のIoTボットネットで15Tbpsに到達している事実は、家庭用光回線とCPEの普及が攻撃側の“アップリンク総和”を押し上げていることを示唆します。ソースIP数（50万超）が感染デバイス数を上回る点は、NATや動的アドレス、さらにはIPスプーフィングの混在を示す可能性がありますです。
• 「TurboMirai」系は反射・増幅に頼らない“直撃型”を選好する傾向があり、BCP38未実装の区間が残る限り、観測や起点特定が難しい相手になりますです。
• 日本・豪州のようにSaaSとクラウドに強く依存する国・産業では、事前契約（RTBH/FlowSpec、スクラビング、Anycast冗長）の有無が事業継続リスクを大きく左右します。DNS/フロントドアの切替訓練など運用成熟度も差になりますです。
• 新規性・即時性が高く、確度も高いタイプのアラートです。現場では「WAFで安心」の誤解を解き、L3/4対策の空白を最優先で埋めるべき局面です。

はじめに

Microsoftが、オーストラリアの単一パブリックIPを狙った分散型サービス拒否（DDoS）攻撃のピーク15.72Tbpsを自動緩和したと公表しています。攻撃は「AISURU」と呼ばれるTurboMirai系のIoTボットネットによるもので、50万超のソースIP、実体として約30万台の感染デバイス（主にルーター、監視カメラ、DVR）から発せられたUDPフラッドでした。公開情報の範囲では、これが観測史上最大級のビット毎秒（bps）ベースの攻撃と位置付けられていますです。

本件は、HTTPレイヤの毎秒リクエスト（rps）記録更新競争とは別軸で、インターネットの物理帯域を“総和”で殴るクラシカルかつ最凶の手法が、IoTの増殖とアクセス回線の高速化によって再加速している現実を示しています。WAF強化やBot対策の成否にかかわらず、L3/4の上流緩和力とネットワーク設計の巧拙が、可用性の生死を分ける局面です。

参考: The Hacker Newsによる報道まとめ（Microsoft発表を引用）

• Microsoft Mitigates Record 15.72 Tbps DDoS Attack from AISURU Botnet

深掘り詳細

事実整理（公開情報ベース）

• 攻撃規模はピーク15.72Tbps。対象はオーストラリアの特定のパブリックIPで、攻撃ベクトルはUDPフラッドです。
• 攻撃源は50万超のソースIP。感染デバイスは約30万台で、CPEルーター、ネットワークカメラ、DVRが主要構成です。
• Microsoftは自動検知・自動緩和で無力化したとし、過去最大級のbps規模と位置付けています。
• ボットネットは「AISURU（TurboMiraiクラス）」と分類され、Mirai系の高速化・多機能化派生と見られます。
• 出典: The Hacker News

インサイト（編集部の分析）

• bps観点の「量的攻撃」回帰
  • HTTPSやHTTP/2を突くrps重視のアプリ層DDoSと異なり、UDPフラッドは装置や回線の帯域・パケット処理限界に直撃します。アプリ層対策（WAF、ボット検知、CAPTCHA）の巧拙に依存せず飽和を狙えるため、クラウド・キャリアのスクラビング能力とAnycast分散、上流での破砕が決定打になりますです。
• ソースIPと感染台数の差が語るもの
  • ソースIP（50万超）＞感染デバイス（約30万）は、以下の複合要因が考えられます（仮説）。
    • ダイナミックIP・再割当やCGNATによる見かけ上の拡張です。
    • 直撃型でもUDPはスプーフィングが可能で、観測されたIPの一部が偽装である可能性があります。
    • 複数ベクトル・複数キャンペーンの重畳で短時間にIPが入れ替わっている可能性です。
  • いずれにせよ、反射・増幅に頼らず直撃で数十Tbpsに迫るだけの「アップリンク総和」を持つことを意味し、固定回線の高速化・普及が攻撃者の“兵站”になっている現実を示しますです。
• 単一点狙いでも広域影響を持ち得る
  • 15Tbps級は、標的手前の共有区間（リージョン内ファブリック、共用エッジ、隣接テナントのNLB、ISPピアリング）を巻き込むリスクがあります。緩和が遅れれば、関係ないサービスのSLAも連鎖的に毀損しやすく、クラウド利用者は「自分のIPだけ守れば良い」の発想を捨て、上流契約・設計・切替手順までを可用性戦略に含める必要がありますです。
• “TurboMirai”系の戦術的特徴
  • Mirai系は初期侵入が既定・弱認証の悪用やリモートサービスの脆弱性に依存し、C2は標準プロトコルや明文化難読化を使います。直撃UDPフラッドは、攻撃者にとってコマンドから効果までのレイテンシが短い、観測阻害がしやすい、反射元制御が不要といった運用面のメリットもありますです。

脅威シナリオと影響

以下は公開情報に基づく仮説シナリオです。MITRE ATT&CKは参照目的で記載します。

• シナリオA：単一点の公開IPに対する直撃型ネットワークDoS
  • 手口: IoTボットのC2がUDPフラッドを指示し、単一IPを高bpsで飽和。
  • 想定影響: 対象サービスの不可用、同一AZ/リージョン内での隣接影響、ISPピアリングでの輻輳。
  • ATT&CK: Network Denial of Service（T1498）/ Direct Network Flood（T1498.001）。ボット獲得段階ではExploitation of Remote Services（T1210）、Brute Force（T1110）、Valid Accounts-Default（T1078.001）の関与が想定されます。
• シナリオB：多段エスカレーション（直撃 → 反射/増幅 → L7飽和）
  • 手口: 初動は直撃UDPで回線を圧迫、緩和されるとCLDAP/NTPなど反射に切替、最後にアプリ層でリソース枯渇を狙う多ベクトル。
  • 想定影響: 緩和装置のリソース分散、プレイブックの複雑化、検知遅延。
  • ATT&CK: Network DoS（T1498）、Reflection/Amplification（T1498.002）、Endpoint DoS（T1499）です。
• シナリオC：抗議行動型/恐喝型DDoSの誘発
  • 手口: 地政学的・社会的イベントや大型ローンチ時期に合わせ、短時間のピーク型DDoSで可用性低下を誇示し、金銭/政治的要求を提示。
  • 想定影響: メディア露出による評判被害、脅迫への組織対応負荷、SOC/広報/法務の一体運用の必要性。
  • ATT&CK: Impact領域（T1498/T1499）に加え、外形的にはPhishingや連絡チャネル悪用（T1566/T1585系）が随伴することがあります。

産業面では、金融、公共、医療、メディア、オンライン小売、教育SaaSなど「同期的アクセス集中」を抱える分野で事業継続への波及が顕著になりやすいです。日本国内でも、税・社会保障手続や大規模イベントの申込サイト、通信・決済基盤のクラウドフロントエンドは、単一点狙いであっても数十Tbps級の影響を看過できない規模です。

参考（MITRE ATT&CK）

• T1498: Network Denial of Service
• T1498.001: Direct Network Flood

セキュリティ担当者のアクション

クラウド／ハイブリッド前提で、L3/4を最優先に再点検します。以下は実務優先度順のチェックリストです。

• 上流緩和と契約まわり

  • クラウドDDoS緩和のSKU/閾値/自動化条件（例：自動トリガのしきい値、スクラビングセンターの容量、リージョン間Anycast分散）を確認し、証跡（報告書・メトリクス）を取得する体制を整備します。
  • ISP/キャリアとRTBH（Remote Triggered Black Hole）/BGP FlowSpecの事前合意、適用プレイブック、BGPコミュニティの即応運用を用意します。DNS事業者・CDNとも、緊急切替（CNAME/エニーキャスト出口の切替、TTL短縮）の手順を定期演習します。
  • 反射対策に加え、直撃型を想定したEgress/Ingressフィルタリングの相互確認をキャリアと実施し、BCP38/MANRS準拠の証跡を求めます（スプーフィング抑止の観点）です。

• アーキテクチャと露出低減

  • 公開IPフットプリントを最小化し、できる限りCDN/フロントドア/リバースプロキシの背後に終端します。UDPが必要なサービス（VoIP、ゲーム、QUICなど）は、ポート限定・レート制御・ACLで受け口を絞ります。
  • Anycast冗長と地理分散を活用し、単一点飽和からのフェイルオーバーを自動化します。リージョン間で“同一IPに依存しない”名前解決設計（エイリアス分割）にします。
  • ゼロトラストやPrivate Link/専用線ゲートウェイにより、管理プレーン・管理APIのパブリック露出を排除します。

• 制御面・装置設定

  • 境界でのCoPP/ACL/tcでのUDPレート制御、カーネルのSYN/ICMP/UDPリミット、L4フィルタの事前テンプレートを用意し、攻撃ベクトル別に即時投入できるよう自動化します。
  • フロー可視化（NetFlow/sFlow/IPFIX）とBGPトリガ連携をSOCで常時モニタし、異常検知からRTBH適用までのMTTRを短縮します。

• 運用・演習

  • DDoSゲームデイを四半期ごとに実施し、DNS TTL短縮→トラフィック吸い替え→黒穴化→復旧までを役割分担込みでリハーサルします。広報・法務・カスタマサポートとのクロス連携を含めます。
  • 可観測性のSLOを定義（検知閾値、緩和開始までの目標時間、復旧基準）、実測と改善サイクルを回します。

• IoT/サプライチェーン（自社側の発信源/踏み台リスク低減）

  • 社内・グループ内のCPE・カメラ・DVRのデフォルト認証排除、ファーム更新、UPnP無効化、外部露出の棚卸しを定常運用に組み込みます。ベンダ選定ではセキュリティ更新ポリシーとSBOM提供の有無を評価します。
  • 地域拠点・小売店舗・工場の回線で、異常送信のフロー監視と自動遮断（上りトラフィックの急増検知）を有効化します。

• 危機コミュニケーション

  • 抗議行動型や恐喝型への備えとして、DDoS発生時の対外説明テンプレート、法執行機関連携窓口、顧客向けステータスページの更新動線を整備します。短時間ピークでも、透明性のある広報が評判毀損を抑えます。

参考情報

• Microsoft Mitigates Record 15.72 Tbps DDoS Attack from AISURU Botnet（The Hacker News）
• MITRE ATT&CK: T1498 Network Denial of Service
• MITRE ATT&CK: T1498.001 Direct Network Flood

本稿は公開報道に基づく分析で、攻撃動機や持続時間、標的サービス種別など未判明点は仮説として扱っています。とはいえ、観測規模と手口の組み合わせから、L3/4対策の空白を残す組織にとっては本日時点での優先度が高いインシデントタイプであることは明白です。WAF偏重のスタックから「上流で受ける」体制への移行を、今期の計画に織り込むべきです。