はじめに:急成長するKimwolfボットネットの脅威
新たに発見されたAndroidボットネット「Kimwolf」が、世界中で180万台以上のデバイスを密かに侵害したことが明らかになりました。主に住宅ネットワーク内のAndroid TVボックスを標的としており、その指令統制(C2)ドメインは一時、Googleを上回るほどの世界的な人気を博しました。これはIoTマルウェアの高度化と規模の拡大を示す重要な事例です。
セキュリティ研究機関XLabが2025年10月下旬に初めてこの脅威を特定して以来、Kimwolfは急速に拡大。12月上旬までに約270万の異なるソースIPアドレスを蓄積し、アクティブな感染デバイスは控えめに見積もっても180万台に達しました。SuperBOX、X96Q、MX10といった人気モデルを含むAndroidベースのセットトップボックスがターゲットとなっており、家庭用エンターテイメントデバイスがサイバー犯罪者の強力な武器と化しています。
Kimwolfの高度な回避技術と攻撃能力
Kimwolfは、既存のマルウェアではほとんど見られない高度な回避技術でその存在を際立たせています。トラフィックを隠蔽するためにDNS over TLS(DoT)を採用し、さらに最近では「EtherHiding」技術を導入。これはEthereum Name Service(ENS)ドメインを利用することで、そのインフラのテイクダウンをほぼ不可能にしています。統計によると、累積感染IPは366万を超え、12月4日には単日ノードIPが1,829,977に達する活動のピークを迎えました。
技術分析によれば、このマルウェアはNative Development Kit(NDK)を用いてコンパイルされており、DDoS攻撃、プロキシ転送、リバースシェルといった包括的な機能を統合しています。ボットネットの攻撃的な性質は、11月19日から22日の間に完全に示され、わずか3日間で17億回ものDDoS攻撃コマンドを発動しました。研究者らは、その総攻撃能力が最大30テラビット/秒(Tbps)に達すると推定しており、現在活動中のボットネットの中でも最も強力なものの一つとされています。DDoS攻撃のターゲットは、米国、中国、フランス、ドイツ、カナダなどの地域に集中し、世界中の様々な業界に及んでいます。
「Aisuru」ボットネットとの関連性
興味深いことに、フォレンジック分析によりKimwolfは悪名高い「Aisuru」ボットネットグループとの関連が指摘されています。コードの比較により、共有されたリソース、同一の暗号化キー、特定の署名証明書の再利用が判明しました。これは、Aisuruの運営者が改良された検出システムを回避するために、インフラを再設計してKimwolfを作り出した可能性を示唆しています。
感染デバイスの悪用とサイバー犯罪者の収益化
攻撃者は、感染したデバイスを住宅プロキシとしてリースすることで収益を上げているようです。数百万台に及ぶパッチ未適用で強力なAndroidデバイスが世界中のリビングルームに置かれている現状は、回復力のある高帯域幅ボットネットを構築しようとする高度な脅威アクターにとって格好のターゲットとなっています。特に「ByteConnect SDK」というコンポーネントを展開することで、運営者は侵害されたTVボックスを経由してトラフィックをルーティングでき、現在の感染率に基づくと月間最大88,000ドルもの収益を得ている可能性があります。
また、マルウェアの作成者は、サイバーセキュリティジャーナリストのBrian Krebsを嘲笑するようなドメインやテキスト出力をコード内に埋め込んでいることも判明しています。
スマートTVエコシステムへの警鐘
Kimwolfの急速な成長は、スマートTVエコシステムのセキュリティに存在する重大なギャップを浮き彫りにしています。専門家は、このようなデバイスが今後も洗練された脅威アクターによる、より回復力のある高帯域幅のボットネット構築の主要なターゲットとなる可能性を警告しています。