Miraiマルウェアから100以上の亜種が派生、ボットネットの拡大後押し

yab

2026.03.26

Miraiマルウェアから100以上の亜種が派生　ボットネットの拡大続く

HackRead – March 25, 2026

PulsediveとSpamhausによると、ボットネットを制御するために使用されるサーバーの世界全体の数が2025年7〜12月の間で24％増え、Miraiマルウェアの亜種が100種以上確認されたとのこと。

調査では、米国内のボットネットC2サーバーの台数が中国を追い抜き、2025年末までに全世界で21,000台以上のサーバーが稼働していると推測された。ボットネットの活動は過去1年間で急増しており、2025年1月〜6月と7月〜12月の各期間でそれぞれ26％と24％増加した。この増加の一因は、2016年から活動が続くMiraiマルウェアとみられる。このマルウェアは脆弱なARCプロセッサを搭載したIoTデバイスをスキャンし、感染範囲を拡大している。また、Miraiのコードが2016年に流出したことで亜種の開発が進み、現在では116種が特定されている。

特にMiraiの亜種であるSatoriはD-Link DSL-2750Bルーターの脆弱性を悪用しており、同製品26万台以上が感染している模様。別の亜種Kimwolfは、携帯電話やスマートテレビなどのAndroidシステムを標的としている。ほかにもAisuru、Tiny Mantis、Murdoc_Botnet、Lzrd、ResgodなどがMiraiマルウェアをベースとしている。

このようなボットネットは今やビジネスとなっており、運営者はDiscordやTelegramなどのアプリで感染デバイスへのアクセス権を販売しているため、これらのサービスに対して料金を支払えば誰でもDDoS攻撃を実行することが可能になる。

こうしたMirai系ボットネットの持つパワーは強力で、最近では、Aisuru-Kimwolfボットネットが史上最大規模のサイバー攻撃に関与し、毎秒31.4Tb、毎秒141億パケットからなるDDoS攻撃が実行された。

Pulsediveの調査レポートによると、これらの攻撃はセキュリティツールによる検出を回避するためにパケットの特性をランダム化するため、阻止するのが特に難しいとのこと。さらに、脅威アクターはIPIDEAのような有害な住宅用プロキシを使用して活動を隠蔽することが多い。また、Googleなどがインフラの一部を停止した後も、Kimwolfは住宅用プロキシから匿名性の高いThe Invisible Project（I2P）に移行して活動を続けているとみられる。一方で、米国司法省はAisuru、Kimwolf、JackSkid、Mossadを含む複数のボットネットに関するインフラをテイクダウンしたと先日発表した。

ボットに感染しないためには、工場出荷時のデフォルトの認証情報を変更し、すべての機器を最新の状態に保つことが推奨される。