Packet Pilot X (Twitter)
2026-02-07

DDoS攻撃の激増:英国企業が記録的なボットネット攻撃にさらされる

2025年の終わりに、英国はDDoS攻撃のターゲットとして世界で6位に上昇しました。Cloudflareによると、2025年には4710万件のDDoS攻撃が発生し、前年の2倍以上に達しました。特に、Aisuru-Kimwolfというボットネットが31.4Tbpsのトラフィックを生成し、記録的な攻撃を引き起こしました。この攻撃は、主に金融サービスや公共セクターを狙ったもので、地政学的な緊張が影響を与えています。攻撃者は、短時間で大量のトラフィックを生成する手法を採用しており、従来の長期的な攻撃からのシフトが見られます。

メトリクス

このニュースのスケール度合い

8.0 /10

インパクト

7.5 /10

予想外またはユニーク度

8.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.5 /10

このニュースで行動が起きる/起こすべき度合い

6.5 /10

主なポイント

  • 英国はDDoS攻撃のターゲットとして世界で6位に上昇しました。
  • Aisuru-Kimwolfボットネットが31.4Tbpsのトラフィックを生成し、記録的な攻撃を引き起こしました。

社会的影響

  • ! DDoS攻撃の増加は、特に金融サービスや公共セクターにおいて、サービスの中断や経済的損失を引き起こす可能性があります。
  • ! 英国の通信インフラが攻撃のターゲットとなることで、国民生活にも影響を及ぼす恐れがあります。

編集長の意見

DDoS攻撃の増加は、特に英国において深刻な問題となっています。攻撃者は、IoTデバイスやクラウドサービスを利用して、短時間で大量のトラフィックを生成する手法を採用しており、従来の防御策では対処が難しくなっています。特に、金融サービスや公共セクターは、攻撃の主要なターゲットとなっており、これによりサービスの中断や経済的損失が発生する可能性があります。さらに、地政学的な緊張が影響を与えていることも無視できません。プロ・ロシアのハクティビストによる攻撃が増加しており、これが英国のDDoS攻撃の増加に寄与していると考えられます。今後、攻撃者はますます巧妙な手法を用いることが予想されるため、企業や組織は、より高度な防御策を講じる必要があります。具体的には、AIを活用した自動化システムを導入し、リアルタイムでの攻撃検知と防御を強化することが求められます。また、企業は、DDoS攻撃に対する意識を高め、従業員への教育を行うことも重要です。これにより、攻撃のリスクを軽減し、迅速な対応が可能となります。

解説

英国がDDoS標的国6位へ——31.4Tbpsの“ハイパーバースト”が示す新局面と、防御設計の組み替えどきです

今日の深掘りポイント

  • 攻撃は“長時間の持久戦”から“数秒〜数十秒の超高ピーク連打”へと重心が移っています。自動緩和の起動遅延やキャパシティ予約の隙間を突かれやすいです。
  • 31.4Tbps級の生成力を持つAisuru-Kimwolfとされるボットネットは、L3/4の飽和とL7の枯渇を自在に使い分けられる可能性があります。単一スタックの対策では受け止めきれないです。
  • 英国の標的化上昇は、金融・公共セクターのデジタル依存と地政学的緊張が重なった“攻撃インセンティブの収斂”と読めます。日本の重要インフラにも同じ力学が波及しやすいです。
  • DDoSは“ネットワークの守備範囲”に留まらず、クラウドのオートスケール課金・APIスロットリング・アプリの優雅な劣化設計までを含む横断設計の問題です。
  • 現場では“検知から緩和まで15秒以内”をSLOとして明文化し、Always-on型のスクラビング+BGPコミュニティ運用+L7レート設計を一体化させるのが実践解です。

はじめに

2025年末、英国がDDoS攻撃の標的国として世界6位に浮上し、年間のDDoS攻撃観測件数は前年の2倍超に達したと報じられています。特にAisuru-Kimwolfと呼称されるボットネットが31.4Tbpsのトラフィックを生成し、記録的な攻撃を引き起こしたとのことです。狙いは金融サービスと公共セクターに集中し、地政学的要因が背景にあるとされています。攻撃は短時間でピークを叩き込む“ハイパーバースト”型が目立ち、従来の長時間前提の設計を無効化しつつあります。出典はCloudflareのレポートを基にした報道です。

参考: The Registerの報道(Cloudflareレポートに基づく)

本稿では、数値の羅列を越えて“何が設計課題なのか”“どこから組み替えるべきか”を、CISO・SOC・TIの視点で掘り下げます。

深掘り詳細

事実整理(報道と公開情報に基づく)

  • 2025年のDDoS攻撃は前年の2倍超に増加し、英国は標的国として世界6位に上昇したと報じられています。
  • Aisuru-Kimwolfと呼ばれるボットネットが31.4Tbpsのトラフィックを生成し、記録的な大規模攻撃を引き起こしています。
  • 主な標的は金融サービスと公共セクターで、地政学的緊張が寄与要因とみられます。
  • 攻撃は長期化よりも、短時間で大量トラフィックを浴びせる手法にシフトしていると伝えられています。
  • 出典: The Registerの報道

上記は二次報道に基づく整理で、プライマリの詳細はCloudflareの四半期もしくは年次DDoSレポートに依拠していると見られます。

編集部のインサイト(示唆と設計課題)

  • “ハイパーバースト”は、緩和の起動時間・拠点間の迂回収容・上流キャリア交渉といった“運用の遅延コスト”を直接突きます。Always-onではないオンデマンド型のスクラビング、遅延検知のWAF/ADC、クラウドの自動スケール閾値など、どこか一箇所でも反応が遅いと全体が破綻しやすいです。
  • 31.4Tbps級のピークは、データセンター単位の余剰や単一事業者の吸収力に“ピーク・オブ・ピーク”で挑む性格が強いです。Anycastによる地理的散逸と上流分散、事前広告済みのスクラビング経路、L7での優雅な劣化(グレースフル・ディグレーデーション)を束ねる“全層防御”が不可欠です。
  • 英国の標的化は、金融・公共の可用性が政治・経済のレバレッジになりやすいという攻撃者の合理性を映します。日本の重要サービス(決済、行政、医療、通信)も“短時間ピークで信用を揺さぶる”動機にさらされやすいです。
  • 現場運用の要諦はSLOの再定義です。検知から緩和適用までの上限時間(例: 15秒)、ピーク到達時のアプリ特性(認証/APIのスロットリングとプライオリティ制御)、ネットワーク側のハード・レートリミットとブラックホール基準など、秒単位の意思決定を自動化することが勝敗を分けます。
  • コストの観点では、L7の過負荷がオートスケールを暴発させ、クラウド課金が“二次被害”になります。防御は“停止を避ける”だけでなく“不要な伸長を抑える”設計(キャッシュ優先、緻密なレート、バックプレッシャー)まで含めるべきです。

脅威シナリオと影響

以下は報道と一般的観測に基づく仮説シナリオであり、実際の手口とは異なる可能性があることを前置きします。

  • シナリオ1: 反射/増幅を伴うL3/4多ベクトルの“ハイパーバースト”

    • 仮説: DNS/NTP/CLDAP等の反射源を束ね、数十秒間のピークで上流回線を飽和させる。
    • MITRE ATT&CK: T1498.002(Reflection/Amplification)、T1498.001(Direct Network Flood)
    • 影響: 上流キャリアで飽和し、スクラビング前段でのドロップが発生。オンデマンド型防御の起動遅延が致命傷になります。

  • シナリオ2: HTTP/2/HTTP/3を用いたL7アプリケーション枯渇

    • 仮説: 短時間に高RPSを叩き込み、認証・検索・決済APIを優先的に枯渇させる。近年のプロトコル特性(同時ストリーム、キャンセル悪用など)を組み合わせる可能性。
    • MITRE ATT&CK: T1499.003(Application Exhaustion Flood)、T1499.002(Service Exhaustion Flood)
    • 影響: オートスケールとWAFの適用が追いつかず、P95遅延悪化からSLA違反、ユーザー離脱、二次的な課金増大を誘発します。

  • シナリオ3: テスト射と恐喝を伴うDDoS-as-Extortion

    • 仮説: 数秒〜数分の“デモ攻撃”で被害者の限界点を測り、支払い拒否時に本攻撃を宣告。
    • MITRE ATT&CK: T1498(Network DoS)に至る前段としてT1595(Active Scanning)、背後の準備でT1583.003(Acquire: VPS)、T1583.005(Acquire: Botnet)
    • 影響: 業務時間帯やイベント直前(選挙、金融決済の繁忙期)に合わせ、最小時間で最大の評判損失を狙います。

  • シナリオ4: クラウド混在基盤を利用した内外同時圧迫

    • 仮説: ボットネットにクラウドの一時リソースを混在させ、Anycastやマルチリージョンを逆手に取り“近場から叩く”。
    • MITRE ATT&CK: T1583.003(Acquire: VPS)、T1568(Dynamic Resolution)で回避性を高める
    • 影響: 地理的分散での“逃がし”が効かず、アプリ層での負荷分散器がホットスポット化します。

総じて、攻撃の成功確率は高く、影響範囲は広く、緊急性も高い事案です。一方で、防御側の行動可能性も低くはなく、運用SLOの再設計と事前手配の見直しで損害を大きく圧縮できる局面です。新規性は高いものの、既存のベストプラクティスを“秒”の精度に引き上げることで現実的な対抗が可能です。

セキュリティ担当者のアクション

今日から動けることと、四半期で変えるべきことを分けて提案します。

  • 即日(Runbookと計測の整備)

    • 検知→緩和のSLOを“15秒以内”で明文化します。メトリクスはbps/pps/RPSを分けて可視化し、閾値に到達したら自動で段階的緩和(L3/4スクラビング、L7チャレンジ/レート)を適用します。
    • API/ログイン/決済などクリティカル・パスの優先度を定義し、優雅な劣化(静的キャッシュ化、一時的な機能制限、低価値トラフィックの切り捨て)を自動化します。
    • BGPコミュニティ(RTBH/S-RTBH)とFlowSpecの即応運用を確認し、誰が何秒で適用できるかを演習で確かめます。

  • 1〜2週間(供給者と設計の再交渉)

    • スクラビング事業者との間で“ピーク・オブ・ピーク”容量と起動時間を再交渉し、Always-onへの切替や事前アナウンス済みの迂回経路を整備します。
    • 上流キャリアと“DDoS緊急時の連絡・適用フロー(24/7/英語含む)”をドキュメント化します。
    • WAF/CDNのレート制御はエンドポイント別にしきい値を定義し、トークンバケットや漏斗(leaky bucket)のパラメータをP95+安全余剰で調整します。

  • 四半期内(構造的な強化)

    • Anycast前提のグローバル分散と、事業継続計画(BCP)における“短時間ピーク断”の扱いを再定義します。重要手続のカットオフや代替チャネル(電話/店舗/紙)を含めた広報計画を準備します。
    • ゼロトラスト配下の管理プレーン/認証系に対し、DDoS隔離ゾーン(専用エッジ/別FQDN)を用意します。攻撃でお客さま向け面が揺れても、運用面は保つ設計です。
    • Threat Intelは、反射源の変化や攻撃者の時間帯・標的選好を継続モニタし、TTP(T1498/T1499/T1583/T1595/T1568)の更新サイクルを短縮します。検知ルールの想定外(短時間ピーク・低持続)の穴埋めを優先します。
    • コスト防衛として、L7トラフィックのスロットリングとキャッシュ戦略でオートスケールの“暴発”を抑止し、攻撃時課金上限ルールを策定します。

  • テストと演習(人と自動化の連携)

    • 5分/30分/2時間の想定で机上演習と本番影響のない合成負荷テストを実施します。目標は“誰がどのダッシュボードで何秒以内に何を押すか”の共通理解です。
    • 監視は“攻撃の有無”だけでなく“緩和が期待通り効いているか”の効果測定(リジェクト率、遅延の頭打ち、エラーバジェットの消費速度)を含めます。

最後に大事なことをひとつ。DDoSは“防ぐ/防げない”の二択ではなく、“どれだけ早く、どれだけ美しく劣化させ、どれだけ早く回復させるか”の運用芸です。31.4Tbpsの数字にたじろぐ必要はありません。秒単位の自動化と役割分担、そしてお客さまへの誠実なコミュニケーションが、実害と評判リスクを大きく分けます。

参考情報

  • The Register: UK climbs up DDoS hit list; Cloudflare reports record 31.4Tbps attack(Cloudflareレポートに基づく報道): https://go.theregister.com/feed/www.theregister.com/2026/02/06/uk_climbs_up_ddos_hit/

背景情報

  • i DDoS攻撃は、複数のコンピュータを利用して特定のサーバーやネットワークに対して大量のトラフィックを送り、サービスを妨害する手法です。最近では、IoTデバイスやクラウドサービスを利用した攻撃が増加しており、攻撃者は短時間で大量のトラフィックを生成することが可能になっています。
  • i Cloudflareの報告によると、2025年にはDDoS攻撃の件数が4710万件に達し、前年の2倍以上となりました。特に、Aisuru-Kimwolfボットネットによる攻撃は、記録的なトラフィックを生成し、金融サービスや公共セクターを狙ったものが多く見られました。
Packet News 一覧へ戻る