今年3月、簡易投稿サイトXで発生したDDoS(分散型サービス拒否)攻撃が原因とみられる世界的な規模の障害に関しNICTER(国立研究開発法人情報通信研究機構)は、フランスで開催されたボットネットとマルウェアに関する国際カンファレンスでRapperBotの攻撃コマンドの受信時刻とXの障害発生時刻が一致していることを明らかにしました。
NICTERが監視データを分析
NICTERの解析チームによると、NICTERはコマンドアンドコントロール(C2)サーバからの国内ボット機器へのコマンドを監視しているということです。DoS攻撃を複数の機器で一斉に行うとDDoS攻撃になります。複数の機器に対してDoS攻撃指令が出るとDDoS攻撃が発生するということです。NICTERの解析チームによると3月10日にXに対する攻撃を観測、NICTERが監視しているC2コマンドに含まれるDoS攻撃のデータとCisco ThousandEyesによるX攻撃観測データを比較しところ、RapperBotの攻撃コマンドの受信時刻とXの障害発生時刻が一致していたということです。これはボットネットに組み込まれている日本国内のIoT機器がXへのDDoS攻撃を行っていたことを意味していると考えられます。ちなみにCisco ThousandEyesはネットワークトラフィック等をリアルタイムで監視し可視化しているサービスです。
Cisco ThousandEyesのX投稿によると、Xへの攻撃はUTC時間の3月10日午前9時45分ころに最初に観測され、計5回の障害が発生、UTC時間の午後6時15分までには解消されたということですが、この間、ユーザーがXに接続できなくなる状況も生じたということです。NICTERによると、攻撃時間は全て200秒で指示されていたということです。
IoT機器をボット化するMiraiというマルウェアがありますが、RapperBotはMiraiマルウェアの亜種のマルウェアとみられていて、NICTERによるとMiraiのソースコードを改良して開発されている形跡が見られるということです。このマルウェアは2022年6月にFortiGuard Labsが発見、FortiGuard Labsの当時のブログによると、ソースコードの多くはMiraiのコードを借用していますが、認証情報をブルートフォース攻撃する機能があり、デバイスが再起動されたりマルウェアが駆除されてもSSHを介して感染デバイスにアクセスできる永続化のコードが実装されているということです。これはMiraiの他の亜種には見られない機能のようです。
RapperBotに狙われている国内DVR
NICTERは2023年12月ころから国内のIoT機器を標的としたRapperBotの攻撃キャンペーンを観測しており、IoT機器の中でも監視カメラを接続して映像を記録するとともにスマホなどのモバイルデバイスからインターネット経由で映像を見たり制御することができるDVR(Digital Video Recorder)が多く狙われているようです。
RapperBotに感染した日本国内のIoT機器を使った攻撃先の多くは中国とみられ、2024年にNICTERが公表した攻撃先の国ごとの割合では中国が約44%と半数近くを占めています。しかし、一方でアメリカも約21%を占めており、攻撃先は多岐にわたっています。NICTERは「DDoS as a Serviceのような傾向がある」としつつRapperBotによるサイバー犯罪ビジネスの存在は確認できていないとし、攻撃主体は不明のようです。いずれにしても日本国内のIoT機器がDDoS攻撃に利用されており、今年3月に簡易投稿サイトXで障害を引き起こしたDDoS攻撃にも悪用されていた実態があるということです。
ちなみにRapperBotという名称ですが、FortiGuard Labsのブログによると、中国が2022年7月に報告したRapperBotのサンプルのコードにYouTubeのラップミュージックビデオへの埋め込みURLがあったことに由来しているようです。この埋め込みURLはその後にリリースされたRapperBotのサンプルには含まれていないということです。
■出典
https://blog.nicter.jp/2025/06/rapperbot_2025_2g/
https://x.com/thousandeyes/status/1899235104335262148
https://blog.nicter.jp/2024/06/rapperbot_campaign/
https://www.fortinet.com/jp/blog/threat-research/rapperbot-malware-discovery