概要
ハッカーは、商用 IoT ボットネットである Masjesu を使用して、ルーターやゲートウェイなどの露出した IoT インフラストラクチャに対して高容量の DDoS 攻撃を実施しています。Masjesu は、2023 年初めから静かに活動しており、依然として 2026 年現在も活発な状態です。
特徴
Masjesu は、Telegram を主なチャネルとして利用し、顧客を獲得しています。このボットネットの運営者は、長期間の生存性を重視しており、迅速な法執行機関の注意を引きそうな米国国防総省などのネットワークや他の敏感なアロケーションを避けています。
技術的詳細
Trellix ARC は、このボットネットの最新サンプルについて調査し、i386, MIPS, ARM, SPARC, PPC, 68K (Motorola 68000), AMD64 のような複数のアーキテクチャに適応したマルウェアを確認しました。
攻撃手法
Masjesu は、XOR ベースの多段階暗号化を使用して設定データや文字列、ペイロードを隠しています。これにより、静的な検出とシグネチャベースのスキャンが大幅に効果を発揮しにくくなっています。
拡散方法
Masjesu は、D-Link, GPON, Huawei, Netgear, TP-Link 等のベンダーから提供されているルーターやゲートウェイで知られている脆弱性を悪用して拡散します。
Telegram チャネル
Masjesu の運営者は、Telegram でこのボットネットを宣伝しています。彼らは、ポリシーによる取り締まりによってチャネルが削除された後も再び立ち上げています。
攻撃能力
Masjesu の運営者は、2025 年 10 月に約 290 Gbps (ギガビット毎秒) の ACK flood DDoS 攻撃を生成したと主張しています。
地理的分布
Masjesu のボットネットは、ベトナム、ウクライナ、イラン、ブラジル、ケニア、インドなどから攻撃トラフィックが発生しており、ベトナムからのトラフィックが全体の約半分を占めています。
防御策
- ルーター、ゲートウェイ、または DVR のファームウェアを最新に更新し、脆弱性のあるモデルについては特に注意深く対応する。
- デフォルトのパスワードは強力で一意な資格情報を置き換える。
- IoT デバイスは可能な限り重要なネットワークから分離する。