Cloudflareが火曜日、過去最大規模の11.5Tbpsのピークに達した分散型サービス拒否(DDoS)攻撃を自動的に阻止したと発表した。
同社はここ数週間で数百件の超大規模DDoS攻撃を阻止し、最大で5.1Bppsと11.5Tbpsに達したと述べた。11.5Tbps攻撃はUDPフラッドで、約35秒間継続した。初期報告では主にGoogle Cloudからの攻撃とされたが、Cloudflareは後に複数のIoTとクラウドプロバイダーの組み合わせからの攻撃だったと訂正した。
この発表は、同社が2025年5月中旬にホスティングプロバイダーを標的とした7.3TbpsのDDoS攻撃をブロックしてから2か月余り後に行われた。2025年第2四半期には超大規模DDoS攻撃が6,500件発生し、第1四半期の700件から大幅に増加した。
同時期にBitsightが、ネットワークビデオレコーダー(NVR)やIoTデバイスを標的とするRapperBotキルチェーンについて詳述した。このボットネットは法執行機関の作戦により先月撃破された。
RapperBotは「104.194.9[.]127」のリモートNFSファイルシステムをマウントしてペイロードをダウンロードし、「iranistrash[.]libre」と「pool.rentcheapcars[.]sbs」のDNS TXTレコードを取得してC2サーバーと通信する。
From: 
Cloudflare Blocks Record-Breaking 11.5 Tbps DDoS Attack
【編集部解説】
この記録的なDDoS攻撃について、より詳しい技術的背景とその影響を理解しておく必要があります。
まず、11.5Tbpsという数値の重要性についてです。これは前回記録の7.3Tbpsから約60%の増加をしています。攻撃は単一のIPアドレスに集中し、1秒間に21,000のポートに分散されたUDPフラッドでした。
この攻撃の技術的特徴として注目すべきは、ゼロに近いレベルから11.5Tbpsまで10秒未満で到達した点です。これは従来の段階的な攻撃パターンとは異なる、極めて洗練された手法を示しています。
Cloudflareの2025年第2四半期レポートによると、超大規模DDoS攻撃は平均して1日71件発生しており、年間では6,500件を記録しました。これは第1四半期の700件から約9倍という驚異的な増加率です。
RapperBotについての詳細な分析では、このボットネットが37万回以上の攻撃を実行し、6万5,000から9万5,000のデバイスを制御下に置いていたことが判明しています。特に興味深いのは、NFSマウントを利用したペイロード配布手法です。これは制限された環境でも動作するよう設計された巧妙な仕組みといえます。
現在のDDoS攻撃の課題は、単純な量的攻撃から「煙幕」攻撃への進化です。大規模なトラフィックでセキュリティチームの注意を引きながら、その隙に別の侵入手法を試みる多重ベクター攻撃が主流になっています。
Cloudflareの防御システムは405Tbpsのネットワーク容量を持ち、1日約5.8兆件のリクエストを処理しています。これは記録的攻撃の35倍以上の余裕を持つ設計ですが、攻撃規模の急速な拡大により、この余裕も決して安心できる範囲ではありません。
今回の事件でGoogle Cloudが攻撃元として言及されたことは、クラウドインフラの悪用という新たな脅威を浮き彫りにしました。大手クラウドプロバイダーの高帯域インフラが攻撃に利用されることで、従来のIoTボットネットとは次元の異なる規模の攻撃が可能になっているのです。
長期的な視点では、このような超大規模攻撃の常態化により、中小規模のサービスプロバイダーにとっては防御コストが大幅に増加する可能性があります。また、インターネットインフラ全体の設計見直しや、国際的な協調による攻撃源の監視強化が急務となるでしょう。
【用語解説】
DDoS(分散型サービス拒否攻撃) – 複数のコンピューターから同時に標的のサーバーへ大量のアクセスを送り、サービスを停止させる攻撃手法である。
Tbps(テラビット毎秒) – データ通信速度の単位で、1秒間に1兆ビットのデータを転送できることを示す。1Tbps = 1,000Gbps。
UDP フラッド – ユーザーデータグラムプロトコル(UDP)を悪用し、標的サーバーに大量の無意味なパケットを送信する攻撃手法である。
IoT(モノのインターネット) – カメラ、ルーター、センサーなどの機器がインターネットに接続され、相互に通信するネットワークを指す。
ボットネット – マルウェアに感染し、攻撃者が遠隔操作できるようになったコンピューターやIoTデバイスのネットワークである。
C2サーバー(コマンド・アンド・コントロール) – 攻撃者がボットネットに指示を送るための司令塔となるサーバーである。
NVR(ネットワークビデオレコーダー) – ネットワーク経由で監視カメラの映像を録画・管理するデバイスである。
NFSマウント – ネットワークファイルシステムを利用し、リモートサーバーのファイルをローカルファイルのように扱う技術である。
パストラバーサル攻撃 – Webアプリケーションの脆弱性を悪用し、本来アクセスできないファイルやディレクトリにアクセスする攻撃手法である。
【参考リンク】
Cloudflare(外部)
ウェブサイトのセキュリティとパフォーマンス向上を提供するクラウドサービス企業
Google Cloud(外部)
Googleが提供するクラウドコンピューティングプラットフォーム
Bitsight(外部)
サイバーセキュリティリスク管理プラットフォームを提供する企業
【参考記事】
Cloudflare mitigates record-breaking 11.5 Tbps DDoS attack(外部)
11.5TbpsのDDoS攻撃の技術的詳細と防御システムの処理能力を解説
DDoS Report Q2 2025: Significant Increase in Hyper-Volumetric Attacks(外部)
2025年第2四半期の超大規模DDoS攻撃統計データと傾向分析
U.S. Authorities Take Down “RapperBot” DDoS-for-Hire Service(外部)
RapperBotボットネットの攻撃規模と法執行機関による撃破作戦の詳細
RapperBot: From Infection to DDoS in a Split Second(外部)
RapperBotのキルチェーンとNFSマウント利用の技術的解説
More than 86K IoT devices compromised by fast-growing Eleven11bot(外部)
IoTボットネットの脅威拡大と従来防御手法の限界について分析
【編集部後記】
今回のCloudflareによる記録的なDDoS攻撃阻止は、私たちが普段利用しているインターネットサービスの裏側で起こっている現実を教えてくれます。
皆さんが日頃お使いのWebサイトやクラウドサービスは、実はこうした目に見えない脅威と常に隣り合わせにあります。もし皆さんの会社やお気に入りのサービスが同様の攻撃を受けたとしたら、どのような影響があるでしょうか?
また、私たちが何気なく使っているIoT機器が、知らないうちに攻撃に加担してしまう可能性についても考えてみませんか。ご自宅のルーターやネットワークカメラのセキュリティ設定、最後に確認されたのはいつでしょう?
テクノロジーの進歩とともに、こうしたサイバー脅威も日々進化しています。皆さんはどのような対策や心構えが必要だと思われますか?
