Kimwolf IoTボットネットがI2P匿名ネットワークを大規模Sybil攻撃で混乱させる

KimwolfボットネットがI2P匿名ネットワークを圧倒

ここ1週間、Kimwolfボットネット（2025年後半に初めて確認された大規模なIoTベースの脅威）が、**The Invisible Internet Project（I2P）**に深刻な混乱をもたらしています。I2Pは、匿名通信を目的とした分散型の暗号化ネットワークです。この障害は、ボットネットの運営者がI2Pをテイクダウン回避のためのバックアップコマンド＆コントロール（C2）インフラとして利用しようとした時期と重なりました。

攻撃の技術的詳細

Kimwolfは、セキュリティが不十分な数百万台のIoTデバイス（ストリーミングボックス、デジタルフォトフレーム、ルーターなど）に感染し、I2Pを利用して耐障害性を維持しています。2月3日、I2Pユーザーは数万台もの新しいルーターがネットワークに流入し、広範囲にわたる接続障害が発生したと報告しました。

この攻撃は、Sybil攻撃のパターンに従っています。Sybil攻撃とは、単一の主体（この場合はKimwolfの運営者）がP2Pネットワークに偽のアイデンティティを大量に送り込み、パフォーマンスを低下させる手法です。サイバーセキュリティ企業Unit 221Bの創設者で、I2Pの初期貢献者でもあるLance Jamesによると、I2Pネットワークは通常15,000～20,000台のアクティブデバイスで構成されていますが、Kimwolfに感染したノードは700,000台にも及び、ネットワークに参加しようとしていました。

ボットネットの運営者は、Discordチャンネルで行動を公然と議論し、I2PをC2のバックアップとしてテストする過程で意図せずI2Pを混乱させたことを認めています。Synthient（プロキシ追跡スタートアップ）の創設者Benjamin Brundageは、Kimwolfが同様の目的でTorも試験的に使用しているものの、Torに関する大きな障害は報告されていないと述べています。

I2Pへの影響と広範なセキュリティ懸念

この攻撃により、I2Pの運用能力は約50%低下し、ユーザーはネットワークトラフィックが60,000件を超える同時接続に達した際に接続がフリーズする事象を報告しました。Kimwolfの主な機能はDDoS攻撃ですが、最近ではI2PやTorのような匿名ネットワークをC2チャネルとして利用し、テイクダウンを回避しようとする傾向が強まっています。

Kimwolfは過去にCloudflareにも影響を与え、そのDNSインフラを圧迫し、悪意のあるドメインがAmazon、Apple、Google、Microsoftなどの主要プラットフォームをCloudflareのトラフィックランキングで一時的に上回る事態を引き起こしました。

現状と対策の取り組み

I2Pの開発者は、今週中に正常な運用を回復するための安定性アップデートを展開しています。一方、Brundageによると、Kimwolfの感染デバイス数は内部の不手際により600,000台以上減少しており、ボットネットの運営者が運用ノウハウに欠けている可能性が示唆されています。

「彼らは本番環境で実験を行っている」とBrundageは述べています。「ボットネットは縮小しており、彼らは何をしているのか分かっていないようだ」

セキュリティチームにとって、この事例はIoTボットネットが匿名ネットワークを悪用して耐障害性を高めるリスクを浮き彫りにしています。異常なI2P/TorトラフィックやSybil攻撃のパターンを監視することで、同様の脅威を早期に検出することが可能です。