ShadowV2ボットネット、10月のAWS障害を試験運用の機会として利用

佐々山 Tacos

2025.11.27

ShadowV2ボットネット、10月のAWS障害を試験運用の機会として利用

The Register – Wed 26 Nov 2025

10月に発生したAWSの大規模障害の背後で、Miraiベースのボットネット「ShadowV2」が世界各国のIoTデバイスへ感染を広げていたという。両インシデントに直接の関係性はないものの、ShadowV2マルウェアがアクティブだったのはこの障害が起きている間のみで、障害を「試験運用」のチャンスとして利用した可能性があるとされる。

FortinetのFortiGuard Labsによれば、ShadowV2は既存のMirai亜種をベースにしてIoTデバイス向けに開発されたものとみられており、198[.]199[.]72[.]27から以下の脆弱性を悪用していたという。

CVE-2009-2765（DDWRT）
CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915（D-Link）
CVE-2023-52163（DigiEver）
CVE-2024-3721（TBK）
CVE-2024-53375（TP-Link）

そしてこの悪用試行により、日本を含む以下の国々のテクノロジー、小売、ホスピタリティ、製造、マネージドセキュリティサービスプロバイダー、政府、電気通信、キャリアサービス、教育の各業界の組織が影響を受けたとされる。

南北アメリカ：カナダ、米国、メキシコ、ブラジル、ボリビア、チリ
ヨーロッパ：英国、オランダ、ベルギー、フランス、チェコ、オーストリア、イタリア、クロアチア、ギリシャ
アフリカ：モロッコ、エジプト、南アフリカ
アジア：トルコ、サウジアラビア、ロシア、カザフスタン、中国、タイ、日本、台湾、フィリピン
オセアニア：オーストラリア

感染したデバイスの台数は明かされていないものの、影響を受けるデバイスは攻撃者のネットワークの一部となり、DDoS攻撃の実行などに悪用される恐れがある。

攻撃者は上記の脆弱性を悪用してダウンローダースクリプト（binary[.]sh）を拡散し、81[.]88[.]18[.]108からShadowV2マルウェアを配布する。ShadowV2はMirai亜種LZRDに構造が似ているとされ、XORでエンコードされた設定値と攻撃手法を初期化し、C2サーバーに接続してDDoS攻撃を実行するためのコマンドを受信するという。実行時には「ShadowV2 Build v1.0.0 IoT version」という文字列が表示されることから、FortiGuard Labsは、これがIoT向けに開発されたShadowV2の最初のバージョンである可能性があると評価している。

同ボットネットマルウェアの活動はこれまでのところ、10月のAWS障害発生時にしか観測されておらず、FortiGuard Labsはこの活動を将来の攻撃に備えて行われた「試験運用」だった可能性が高いと考えている。同社はShadowV2の分析結果により、「IoTデバイスがより広範なサイバーセキュリティランドスケープの中の脆弱なリンク」であり続けていることが改めて明らかになっていると指摘。その上で、タイムリーにファームウェアをアップデートし続けること、強固なセキュリティ慣行を徹底すること、また継続的に関連する脅威インテリジェンスをモニタリングすることで、全体的な状況認識を強化するとともにエコシステムのレジリエンスを確保できるようにすることの重要性が浮き彫りになったと述べている。