Miraiの亜種のbotネット「Eleven11bot」の規模とは 企業による予測値が異なる現状Cybersecurity Dive

マルウェア「Mirai」の亜種であるbotネット「Eleven11bot」は、通信企業やゲームプラットフォームを標的としたDDoS活動に関与している。このbotネットの規模について、セキュリティ企業の間で意見が分かれているようだ。

» 2025年03月21日 07時30分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 セキュリティ研究者たちは、通信企業やゲームプラットフォーム、その他の業界に対するDDoS攻撃においてIoTデバイスを悪用しているbotネット「Eleven11bot」の規模に関する予測を修正した。

botネット「Eleven11bot」を構成するデバイス数に関する齟齬(そご)

 サイバーセキュリティ事業を営むGreyNoiseは2025年3月5日(現地時間、以下同)に「感染したデバイスの数は世界中で5000台未満だ」と述べた(注1)。一方、インターネットトラフィックを分析するNokia Deepfieldは2025年3月7日に(注2)、3万台以上のデバイスがDDoS活動に積極的に関与していると発表し、その調査結果をbotネットを追跡している他の企業に共有した。

 GreyNoiseは「対象のbotネットの大半はマルウェア『Mirai』の亜種であり、『TVT-NVMS-9000』ソフトウェアを実行しているHiSilicon製ベースのデバイスをターゲットとする」と述べている。

 Nokia Deepfieldの研究者は、自社の調査結果を他の研究者に共有し、各企業がEleven11botに関する予測値を算出する方法に若干の違いがあることを指摘した。

 Nokia Deepfieldのジェローム・メイヤー氏(セキュリティ研究者である)は、電子メールで次のように述べた。

 「3万台という数値は、攻撃データから直接導き出されたものだ。私たちが全てのインターネットのIPに対して実行している、特定のデバイスの特性を確認するアクティブクローリングもこの数値を示している」

 GreyNoiseによると、数万台のデバイスが存在するという以前の予測は(注3)、HiSiliconの通常のデバイスシグネチャのトラフィックがbotネットの活動として誤認されたことに基づいたものだという。

 ブログ投稿によると、GreyNoiseはCensysの研究者たちから提供された約1400件のIPを分析した。GreyNoiseは「そのうち1042が悪用やスキャンに関与している」と述べた。研究者たちは、これらが主に外部インターネット通信に関与しない組み込みシステムに接続されると指摘している。

 NVMS9000に関する重大な脆弱(ぜいじゃく)性に関して2024年5月に発表されたセキュリティ勧告に基づいて(注4)、GreyNoiseは予測値を部分的に修正した。同社は「修正された予測値は展開されたハードウェアの数字に基づく」と述べているが、実際の総数がさらに多い可能性もあると認めている。

(注1)New DDoS Botnet Discovered: Over 30,000 Hacked Devices, Majority of Observed Activity Traced to Iran(GREYNOISE)
(注2)@deepfield(INFOSEC EXCHANGE)
(注3)More than 86K IoT devices compromised by fast-growing Eleven11 botnet(Cybersecurity Dive)
(注4)SSD Advisory NVMS9000 Information Disclosure(SSD SECURE DISCLOSURE)

© Industry Dive. All rights reserved.

メールマガジンのお知らせ

メールマガジン

企業を変革するビジネス視点のメールマガジンを毎朝配信中!!

アイティメディアからのお知らせ

あなたにおすすめの記事PR