FortiGuard Labsの研究者が新たなGayfemboyボットネットキャンペーンを追跡した。このマルウェアはDrayTek、TP-Link、Raisecom、Ciscoの既知の脆弱性を悪用している。
Gayfemboyボットネットは2024年2月に最初に確認され、基本的なMirai亜種のコードを使用してN-dayとゼロデイ攻撃を統合している。2024年11月までに15,000台を超える日次アクティブノードを獲得し、Four-Faith産業用ルーター、Neterbitルーター、Vimarスマートホームデバイスのゼロデイ脆弱性を悪用した。
2025年1月にQiAnXin XLabの専門家は、Gayfemboyが20以上の脆弱性を悪用してボットを配信し、CVE-2024-12856を含むFour-Faith産業用ルーターのゼロデイ脆弱性を標的にしていることを確認した。
2025年7月にFortiGuard Labsが87.121.84.34と220.158.234.135のIPから発生する攻撃を発見した。標的デバイスにはAsus、Vivo、Zyxel、Realtekが含まれる。
Gayfemboyボットネットはブラジル、メキシコ、米国、ドイツ、フランス、スイス、イスラエル、ベトナムの複数国を標的とし、製造業、テクノロジー、建設業、メディア・通信業界の被害者が確認されている。
From: 
IoT under siege: The return of the Mirai-based Gayfemboy Botnet
【編集部解説】
Gayfemboyボットネットの復活は、IoTセキュリティ業界にとって注目すべき事象です。このマルウェアが示すのは、2016年に登場したMiraiボットネットの遺伝子が現在も進化を続けている事実であり、IoTデバイスの脅威がより洗練化している現状を表しています。
特筆すべきは、Gayfemboyが採用する検出回避技術の高度化です。従来のMirai系ボットネットが使用していた予測可能な命名規則を廃止し、各アーキテクチャに独自の名前を割り当てることで、セキュリティツールによる自動検出を困難にしています。この手法は、マルウェア開発者が防御技術の進歩を意識し、それに対抗する形で戦術を進化させていることを示唆しています。
15,000台を超える日次アクティブノードの規模は、現代のボットネットが持つ破壊力の大きさを物語っています。特に注目すべきは、攻撃者が自分たちを追跡する研究者に対してDDoS攻撃を仕掛けるという積極的な対抗手段を取っている点です。これは従来の「隠れて活動する」マルウェアとは異なる、より攻撃的な姿勢を示しています。
技術的な観点では、50ナノ秒の遅延を利用したサンドボックス回避技術が興味深い進歩を表しています。この技術により、解析環境での実行を検出し、約27時間のスリープモードに入ることで研究者の分析を妨害します。こうした時間ベースの回避技術は、今後のマルウェア対策技術の発展方向を示唆するものといえるでしょう。
産業界への影響として、製造業、テクノロジー、建設業、メディア・通信業界といった幅広い業界が標的になっている点が重要です。これらの業界では、IoTデバイスが業務プロセスの中核を担うケースが増えており、ボットネット感染による業務停止や情報漏洩のリスクが現実的な脅威となっています。
将来的な視点では、IoTデバイスの爆発的増加により、このような脅威はさらに拡大する可能性があります。2025年現在、世界中には約19.8億台のIoTデバイスが存在し、2030年までに29億台に達すると予測されています。この成長に伴い、攻撃対象となる機器の種類も多様化し続けるでしょう。
規制面では、EU Cyber Resilience ActやUK Product Security Regulationsなど、IoTセキュリティを強化する法的枠組みが整備されつつあります。これらの規制により、製造業者はより堅牢なセキュリティ機能をデバイスに組み込むことが義務付けられ、業界全体のセキュリティレベル向上が期待されます。
【用語解説】
Miraiボットネット:2016年に登場したIoTデバイス向けマルウェア。ソースコードが公開されているため多数の亜種が存在し、現在も進化を続けている。
N-day攻撃:既に公開されている脆弱性を悪用する攻撃手法。ゼロデイ攻撃と対比される。
ゼロデイ脆弱性:発見されたが修正プログラムが未公開の脆弱性。攻撃者にとって強力な武器となる。
CVE-2024-12856:Four-Faith産業用ルーターで発見されたゼロデイ脆弱性の識別番号。
XMRigマイナー:仮想通貨Moneroをマイニングするソフトウェア。マルウェアが感染端末を乗っ取り仮想通貨採掘に悪用する際に使用される。
C2(Command and Control)サーバー:ボットネットを制御する司令塔サーバー。感染端末はこのサーバーから指令を受け取る。
DDoS攻撃:複数のコンピューターから対象サーバーに大量のアクセスを送り、サービス停止を狙う攻撃手法。
UPXヘッダー:実行ファイルの圧縮・難読化に使用されるツール。マルウェアが検出回避のため改変版を使用することがある。
【参考リンク】
FortiGuard Labs(外部)
Fortinetの脅威インテリジェンス部門。AI技術を活用した脅威分析を行い、今回のGayfemboyボットネット発見元
DrayTek(外部)
台湾のネットワーク機器メーカー。VPN、ファイアウォール、ルーターなどを展開し今回の攻撃対象の一つ
TP-Link(外部)
中国の無線LANおよびネットワーク機器メーカー。家庭用・業務用ルーター、スイッチなどを製造
Cisco Systems(外部)
米国のネットワーク機器大手。企業向けルーター、スイッチ、セキュリティ製品を提供
Four-Faith(外部)
中国の産業用IoT機器メーカー。産業用ルーター、M2M通信機器を製造しCVE-2024-12856脆弱性が発見
【参考記事】
Inside the Mirai-Based “Gayfemboy” Botnet Campaign – Fortinet(外部)
FortiGuard Labsによる公式分析報告書。Gayfemboyボットネットの技術的詳細と攻撃手法について詳細に解説
New Mirai Botnet Exploits Zero-Days in Routers and Smart Devices – Infosecurity Magazine(外部)
2025年1月のGayfemboy活動について報告。QiAnXin XLabの研究結果に基づき20以上の脆弱性悪用を詳述
Top IoT Security Risks in 2025—and How to Defend – Teltonika Networks(外部)
2025年のIoTセキュリティリスクと対策について解説。ボットネット攻撃の増加傾向と防御戦略を分析
Securing the Future of IoT: Key Trends for 2025 – Safe4(外部)
IoTセキュリティの2025年トレンドを分析。19.8億台から29億台への成長予測と規制強化について詳述
【編集部後記】
皆さんの身の回りにはどれくらいのIoTデバイスがあるでしょうか?スマートホーム機器、産業用ルーター、監視カメラなど、気がつかないうちに膨大な数のデバイスがネットワークに接続されています。
今回のGayfemboyボットネットの事例を見ると、攻撃者は私たちが「便利だから」と導入したデバイスを逆手に取り、巧妙に侵入を図ってきます。特に注目すべきは、研究者への逆襲という積極的な姿勢です。こうした脅威の進化に対して、私たち一人ひとりがどのような備えをすべきか、皆さんはどのようにお考えでしょうか?IoTセキュリティは今や個人の問題を超えて、産業インフラ全体に関わる重要な課題となっています。
