ノキア、過去最大のDDoS攻撃を検知

Nokiaによると、ボットネットには約3万台のウェブカメラとビデオレコーダーが含まれていると推定され、侵害されたデバイスの24.4%は米国に所在している。Eleven11botは最大のボットネットではないものの、Cloudflareによると、2025年1月に記録された5.6 Tbpsというこれまでの記録を上回る、最大6.5 Tbpsの分散型サービス拒否（DDoS）攻撃を引き起こした。

ノキアのディープフィールド緊急対応チームは、2月下旬に一連の分散IPアドレスによる「大規模攻撃」が発生した後、Eleven11botを発見しました。従来のDDoS攻撃とは異なり、Eleven11botの攻撃は大量のデータでネットワークを氾濫させ、通信サービスプロバイダーやゲームホスティングインフラに最大1週間の混乱をもたらしました。

ノキアのセキュリティ研究者ジェローム・メイヤー氏は、これらの攻撃に関与したIPアドレスのほとんどは、これまでDDoS活動との関連がなかったため、Eleven11botの出現は特に懸念されると述べた。また、この規模のボットネットが最後に発見されたのは、ロシア・ウクライナ紛争直後の2022年で、感染デバイスは約6万台に上ったと指摘した。

「このボットネットは、DDoS攻撃で一般的に見られるものよりもはるかに大規模です」とマイヤー氏は述べた。「攻撃の規模は、1秒あたり数十万パケットから数億パケットと、非常に大きく異なります。」

ノキアの見積りは正確でしょうか?

ノキアはボットネットのデバイス数を約3万台と推定しているが、非営利団体のShadowserver Foundationはそれを8万6000台以上に修正している。一方、セキュリティ企業Greynoiseは推定台数を5000台弱と大幅に低く設定し、IPアドレスによるアクティビティの61%がイランから発信されているとしている。マイヤー氏は、感染デバイスの識別方法を考慮すると、Shadowserverの推定値は高すぎる可能性があると指摘している。

Greynoiseの研究者たちは、Eleven11botは、デフォルトの認証情報やソフトウェアの脆弱性を悪用してIoT（モノのインターネット）デバイスに感染することが多い、2016年に流行したマルウェア「Mirai」の新たな亜種であると考えています。Eleven11botは、新たな脆弱性を利用して深圳のTVT-NVMS 9000デジタルビデオレコーダーに侵入したと研究者らは述べています。

Eleven11bot やその他のボットネットから身を守るために、専門家は、IoT デバイスをファイアウォールの背後に配置し、不要な場合はリモート管理を無効にし、強力で固有のパスワードを使用し、ボットネットが悪用する可能性のある脆弱性を修正するためにファームウェアを定期的に更新することを推奨しています。