2025年秋、セキュリティ業界に衝撃が走った。「Kimwolf」と名付けられた新型ボットネットが、わずか数カ月で200万台以上のIoTデバイスを感染させ、世界中の企業・政府ネットワークに侵入していることが明らかになったのである。従来のボットネットと異なり、Kimwolfはレジデンシャルプロキシ(住居用IPを経由する匿名化サービス)を悪用し、ファイアウォールの内側から攻撃を仕掛けるという新しい手法を採用している。本稿では、Kimwolfの技術的特徴と企業が直面するリスク、そして具体的な防御策を解説する。

Kimwolfとは何か ── Aisuruボットネットの進化形

Kimwolfは、2025年8月頃から活動が確認されているAndroid特化型ボットネットである。中国のセキュリティ企業QiAnXinのXLabチームによると、このボットネットは悪名高い「Aisuru」ボットネットのコードを流用して開発されたとされる。Aisuruは2024年後半から記録的なDDoS攻撃を行っていたことで知られており、Kimwolfはその検知回避能力を強化した後継として位置づけられる。

Kimwolfの主なターゲットは、非公式のAndroid TVボックスやセットトップボックスである。これらのデバイスの多くは、海賊版コンテンツの視聴を目的として販売されており、出荷時点でレジデンシャルプロキシのSDK(ソフトウェア開発キット)がプリインストールされている。XLabの調査では、感染デバイスの約67%がデフォルトでAndroid Debug Bridge(ADB)を認証なしで有効化していたことが判明している。

レジデンシャルプロキシを悪用した「内側からの侵入」

Kimwolfの最大の特徴は、レジデンシャルプロキシネットワークを踏み台として企業ネットワークに侵入する点にある。特に中国拠点のプロキシサービス「IPIDEA」が主要な悪用対象となった。IPIDEAは数百万のエンドポイントを持つ大規模プロキシサービスであり、Kimwolfの攻撃者はこのサービスを通じてローカルネットワーク内のデバイスに直接アクセスすることに成功した。

技術的には、攻撃者はDNS設定をRFC-1918アドレス範囲(192.168.x.x、10.x.x.xなど)に向けることで、プロキシ経由でプライベートネットワーク内のデバイスをスキャンし、脆弱なADBポートを発見・悪用した。この手法により、通常は外部からアクセスできないはずの内部ネットワークが、プロキシを経由して「合法的な」トラフィックとして侵入される事態が発生した。

セキュリティ企業Synthientの調査によると、米国の大学ネットワークで約33,000件、米国および外国の政府ネットワーク内で約8,000件のIPIDEAプロキシが検出されている。また、Spurの分析では298の政府ネットワーク、318の公益事業者、166の医療機関、141の金融機関にレジデンシャルプロキシの存在が確認されている。

30TbpsのDDoS攻撃能力と1.7億回のコマンド発行

Kimwolfボットネットの攻撃能力は驚異的である。2025年11月19日から22日にかけての3日間で、17億回以上のDDoSコマンドが発行されたことがXLabの観測で確認されている。12月1日には、研究者がC2(Command & Control)ドメインを奪取することに成功し、1日あたり最大183万のアクティブIPアドレスを観測した。

DDoS攻撃規模については、2025年12月9日に大手クラウドサービスプロバイダーが約30Tbps、2.9Gpps(Giga packets per second)の攻撃を観測したと報告している。XLabとの情報共有により、この攻撃にKimwolfが関与していることが確認された。ボットネットはUDPフラッド、TCPフラッドを含む13種類のDDoS手法をサポートしており、プロキシ転送(コマンドの96.5%を占める)、リバースシェル、ファイル管理機能も備えている。

ブロックチェーンを活用したテイクダウン回避

2025年12月12日頃から、Kimwolfは「EtherHiding」と呼ばれる新技術を導入し、C2インフラの耐久性を大幅に向上させた。これはEthereum Name Service(ENS)を利用してC2サーバーのアドレスを管理する手法である。具体的には、「pawsatyou.eth」というENSドメインに紐づけられたスマートコントラクト(アドレス: 0xde569B825877c47fE637913eCE5216C644dE081F)のテキストレコードにC2のIPアドレスを格納している。

この手法の利点は、C2サーバーがテイクダウンされても、攻撃者がENSレコードを更新するだけで感染デバイスが新しいサーバーの所在を即座に把握できる点にある。ブロックチェーンは分散型であり、EthereumやENSの運営者によって規制・ブロックされることがないため、従来のドメインテイクダウン手法が通用しない。

企業の25%が影響 ── Infobloxの警告

DNSセキュリティ企業Infobloxは、2025年10月1日以降、同社顧客の約25%がKimwolf関連ドメインへのDNSクエリを発生させていたことを報告した。影響を受けた顧客は世界中に分布しており、教育機関、医療機関、政府機関、金融機関など、あらゆる業種に及んでいる。

Infobloxは、企業ネットワーク内にプロキシデバイスが存在することの危険性を強調している。感染したプロキシデバイスは、攻撃者がネットワーク内でラテラルムーブメント(水平移動)を行うための足がかりとなり、そのデバイスがアクセス可能なすべてのシステムが潜在的なターゲットとなる。これは、従来の境界防御が機能しない「内側からの脅威」である。

対策への動き ── IPIDEAのパッチとLumenのC2無効化

2025年12月27日、IPIDEAはセキュリティパッチを適用し、ローカルネットワークデバイスおよび高リスクポートへのアクセスをブロックする措置を講じた。これにより、Kimwolfが悪用していた主要な侵入経路が遮断された。

また、2025年10月初旬から、Lumen TechnologiesのBlack Lotus Labsチームが550以上のKimwolf/AisuruボットネットのC2サーバーを「null-route」技術により無効化する作業を進めている。研究者らは「10月初旬には7日間で新規ボット数が300%増加する急拡大が観測された」と報告しており、介入がなければさらなる被害拡大は不可避であったと見られる。

エンタープライズが取るべき防御策

Kimwolfの脅威に対抗するため、企業は以下の対策を講じるべきである。

1. ネットワーク内のIoTデバイス棚卸し:非公式のAndroid TVボックスやセットトップボックスがネットワーク内に存在しないか調査する。特に従業員の持ち込みデバイスや、オフィスの共有スペースに設置された非管理デバイスに注意が必要である。

2. ADBポートの監視とブロック:ポート5555(ADBのデフォルト)への内部トラフィックを監視し、不審なアクセスを検知する体制を構築する。不要な場合はファイアウォールでブロックすべきである。

3. DNSベースの脅威検知:Protective DNS(保護DNS)ソリューションを導入し、Kimwolf関連ドメインへのクエリを検知・ブロックする。Infobloxなどのベンダーがこの種のサービスを提供している。

4. レジデンシャルプロキシの検出と遮断:ネットワーク内にレジデンシャルプロキシサービスが存在しないか監視する。SynthientやSpurなどのサービスが、既知のプロキシIPアドレスのデータベースを提供している。

5. RFC-1918アドレスへの外部DNSクエリの監視:プライベートIPアドレス範囲を指すDNSレコードへの外部からのクエリは異常であり、Kimwolfのような攻撃の兆候である可能性がある。

FAQ

Kimwolfボットネットとは何ですか?

Kimwolfは2025年8月以降に活動が確認されているAndroid特化型ボットネットである。主にAndroid TVボックスやセットトップボックスを標的とし、レジデンシャルプロキシを悪用して企業ネットワークに侵入する手法を特徴とする。200万台以上のデバイスに感染し、30Tbps規模のDDoS攻撃能力を持つとされる。

なぜ企業ネットワークが危険なのですか?

Kimwolfはレジデンシャルプロキシを経由してネットワーク内部からデバイスをスキャン・感染させるため、従来のファイアウォールによる境界防御が機能しない。Infobloxの調査では顧客の25%が関連ドメインへのクエリを発生させており、感染デバイスは攻撃者のラテラルムーブメントの起点となりうる。

どのようなデバイスが標的になりますか?

主に非公式のAndroid TVボックス、セットトップボックス、スマートTVが標的となる。これらのデバイスの多くはADBが認証なしで有効化されており、レジデンシャルプロキシのSDKがプリインストールされている場合もある。約67%の感染デバイスでADBがデフォルト有効であったと報告されている。

企業はどのように対策すべきですか?

ネットワーク内のIoTデバイスの棚卸し、ADBポート(5555)の監視とブロック、DNSベースの脅威検知サービスの導入、レジデンシャルプロキシの検出が推奨される。また、RFC-1918アドレスを指す外部DNSクエリの監視も有効な検知手段となる。

EtherHidingとは何ですか?

EtherHidingは、Ethereum Name Service(ENS)のブロックチェーン機能を利用してC2サーバーのアドレスを管理する手法である。ブロックチェーンは分散型であるため従来のドメインテイクダウンが通用せず、C2サーバーがダウンしてもENSレコードを更新するだけでボットネットは稼働を継続できる。

参考文献