新たなゴリラ ボットネットが 100 か国以上で 30 万件以上の DDoS 攻撃を開始

サイバーセキュリティは新たな脅威に直面しています。その名はゴリラ、別名ゴリラボットです。悪名高い Mirai ボットネットの亜種であるこのボットネットは、分散型サービス拒否 (DDoS) 攻撃の嵐を巻き起こし、わずか数週間で 100 か国で 30 万件を超える攻撃が発生しました。サイバーセキュリティ企業 NSFOCUS によると、この容赦ない攻撃の波は 2024 年 9 月 4 日から 9 月 27 日の間に発生し、世界的な大混乱を引き起こしました。

ゴリラボットネットの到達範囲

わずか 1 か月足らずの間に、Gorilla ボットネットは 1 日平均 20,000 件の DDoS 攻撃コマンドを発行しました。米国、中国、カナダ、ドイツなどの国が主なターゲットとして浮上し、大学、通信事業者、銀行、さらにはゲームやギャンブル業界など、幅広い分野が攻撃を受けています。さらに憂慮すべきなのは、これらの攻撃の規模です。

ボットネットは主に、UDP フラッド、ACK BYPASS フラッド、Valve Source Engine (VSE) フラッド、SYN フラッド、ACK フラッドなど、さまざまな攻撃ベクトルを利用します。これらの方法は、ターゲット システムをトラフィックで圧倒し、正常に動作することを困難にするか、不可能にするように設計されています。特に懸念されるのは、UDP プロトコルのコネクションレス特性を悪用して、送信元 IP アドレスを偽装し、膨大な量のトラフィックを生成する UDP フラッド攻撃の使用です。

非常に洗練されたマルウェア

Gorilla ボットネットが他と一線を画しているのは、その膨大な量だけでなく、その洗練さです。このボットネットは、ARM、MIPS、x86_64、x86 など複数の CPU アーキテクチャで動作するように設計されており、さまざまなデバイスに侵入することができます。マルウェアがシステムに感染すると、定義済みの 5 つのコマンド アンド コントロール (C2) サーバーのいずれかに接続して、新しい DDoS コマンドを受信します。

さらに、このマルウェアは、2021年から悪用されているApache Hadoop YARN RPCの既知の脆弱性を悪用します。これにより、Gorillaボットネットは感染したデバイス上でリモートコード実行を実現し、これらのシステムを長期的に制御できるようになります。システムの起動時やユーザーのログイン時にシェルスクリプトを自動的に実行するサービスファイルを作成することで、永続性が確保されます。

対抗検出戦略

Gorilla に関して本当に心配なのは、検出をいかにうまく回避するかということです。NSFOCUS によると、このボットネットは重要な情報を隠蔽するために暗号化技術を採用しており、サイバーセキュリティの専門家がマルウェアを検出して無効化することが困難になっています。また、IoT デバイスやクラウド システムを狙ったマルウェアの開発で知られる悪名高い集団である Keksec グループから暗号化手法を借用しています。これらの戦略を組み合わせることで、Gorilla ボットネットは感染したデバイスを長期間にわたって検出されることなく制御し続けることができます。

なぜ気にする必要があるのか

Gorilla ボットネットは急速に拡大し、幅広い分野にわたって大規模な DDoS 攻撃を実行できるため、企業、政府、個人にとって手ごわい脅威となっています。IoT デバイスが家庭や産業でますます普及するにつれて、ボットネットによる攻撃のリスクは増大し続けています。組織、特に標的となる分野の組織にとって、サイバーセキュリティ防御を強化するための措置を直ちに講じることは、こうした種類の攻撃を軽減するために不可欠です。

Gorilla ボットネットの出現は、サイバー脅威が進化し、より攻撃的かつ高度になっていることをはっきりと示しています。自宅で IoT デバイスを管理する個人であっても、重要なインフラストラクチャを運用する企業であっても、これらの脅威に先手を打つには、常に警戒し、積極的なサイバーセキュリティ対策を講じる必要があります。Gorilla のようなボットネットが蔓延している今、油断しているわけにはいきません。

組織はサイバーセキュリティ企業と緊密に連携し、ネットワークを保護するために最新の脆弱性と脅威について最新情報を把握しておく必要があります。