Codeblue 2025において「攻撃的サイバー作戦の比較研究 — 能動的サイバー防御 対 Hunt Forward」という講演をアメリカのリサーチャーであるモーガン パースさんと一緒におこないます。リンクは、こちらです。
このセッションは、サイバー対処能力強化法整備法において整理される、いわゆる「アクセス・無害化措置」について検討してみようと考えています。
このアクセス無害化措置については、私のブログでいうと、
で見ています。この具体的な作戦活動については、どのようなものをイメージするといいのかがよく分からないので、米国の具体的な例をみながら、この法律で許可される具体的な措置、詳細な手順、および関連する課題についての不確実性に対処すべく検討するということが、このゴールになります。
でもって、特に警察官職務執行法で設けられる「「サイバー危害防止措置執行官」がどのような措置をとることが想定されるのかというのを、実際に米国でFBIがどのようなオペレーションを採用しているのかというのを見ていきたいと思います。具体的なものとしては、前にブログでもふれたHAFNIUM case(法的分析(FBIの未対策サーバのWebシェル削除を“代行”))があるのですが、それ以降のものとして“Volt Typhoon事件のオペレーション、Flax Typhoon事件のオペレーションをあげることができると思われます。
また、その一方で、FBIの作戦のターゲットのPCを、その後、攻撃者側が乗っ取ったという事件も報道されています。
1 Volt Typhoon事件
1.1 攻撃の概要
Volt Typhoon事件というのは、 別名:Vanguard Panda, Bronze Silhouette, Redfly, Insidious Taurus, UNC3236, Voltzite などといわれる中国政府支援型のAPT(高度持続的脅威)グループとされるサイバースパイ組織が 、 少なくとも2021年頃から活動しており、米国の重要インフラを標的にしているAPT活動をいいます。
この事件について米国所在の被害ルーターについてFBIがボットネットを「無害化(壊滅(disrupt)) 」したというプレスリリースがでています。リンクはこちらです
これで引用されているアドバイザリーは、各国(米国、英国、オーストラリア、ニュージーランド、カナダ)の関係当局が共同でだしています。インフラを狙った攻撃である点に特徴があります。
1.2 感染ルーターからの除去等の作戦
この除去のための作戦ですが、裁判所の2024年1月9日の捜索・差押令状を見てみます。リンクはこちら。
根拠法制としては、連邦刑事訴訟法41条(b)(6)(B) によります。同条文(リンク)は、
(b) 令状申請の管轄裁判所。連邦法執行官または政府側弁護士の請求に基づき:
(1) 当該地区に管轄権を有する治安判事(または合理的に利用可能な者がいない場合、当該地区の州記録裁判所判事)は、当該地区内に所在する人物または財産の捜索・差押え令状を発する権限を有する。
(2) 当該地区に権限を有する治安判事は、令状発付時に当該地区内に所在する人物または財産が、令状執行前に当該地区外に移動または移動される可能性がある場合、当該地区外の人物または財産に対する令状を発付する権限を有する。
(3) 国内テロリズムまたは国際テロリズムの調査において、当該テロリズムに関連する活動が発生した可能性のある管轄区域のいずれかに権限を有する治安判事は、当該管轄区域内外にある人物または財産に対する令状を発付する権限を有する。
(4) 管轄区域内の治安判事は、当該区域内に追跡装置を設置するための令状を発付する権限を有する。当該令状は、区域内、区域外、またはその両方に所在する人物または財産の移動を追跡するための装置の使用を許可することができる。
(5) 犯罪に関連する活動が行われた可能性のある管轄区域、またはコロンビア特別区において管轄権を有する治安判事は、州または管轄区域の管轄外にあるが、以下のいずれかの区域内にある財産に対する令状を発付することができる:
(A) アメリカ合衆国の領土、属領、または自治領;
(B) 外国にある米国外交使節団または領事館の敷地(所有者を問わず)、これに付属する建物、建物の一部、または使節団の目的で使用される土地を含む;または
(C) 外国にある米国外交使節団または領事館に派遣された米国職員が使用し、米国が所有または賃借する住居およびこれに付属する土地。
(6) 犯罪に関連する活動が行われた可能性のある管轄区域において権限を有する治安判事は、以下の条件を満たす場合、遠隔アクセスによる電子記憶媒体の捜索、及び当該管轄区域内外にある電子的に保存された情報の押収または複製を許可する令状を発する権限を有する:
(A) 当該媒体または情報が所在する地区が技術的手段により隠蔽されている場合、または
(B) 18 U.S.C. § 1030(a)(5) の違反に関する捜査において、当該媒体が許可なく損傷された保護対象コンピュータであり、かつ5つ以上の地区に所在する場合。
となっています。
令状には、宣誓書がついているので、それを見ていきます。その構成は、序、エージェントのバックグラウンド、法的な根拠、相当な理由(Probable cause)、時間および実施の方法、封緘および通知遅延の要求、結論からなりたっています。
この担当のエージェントは、ヒューストンのサイバー部門(Cyber Squad)で操作に従事しています(3)。上でふれた連邦刑事訴訟法41条(b)(6)(B)は、ボットネットに対応するために作成されています(6)。なお゛改正は、2015年で、諮問委員会の報告書が引用されており、一般に、遠隔でソフトウエアをインストールすることでなされることがふれられています(7)。実体法としては、連邦法1030条(a)(5)(A)の違反になります(10)が、相当な理由で、個々に論じられています。共同のアドバイザリー(11)、マイクロソフトのアドバイザリ(12)が公表されたこと、SOHOのルーターのネットワークが、KVボットネットとして知られており、Volt Typhoonハッカーがそれを利用していること(13)、ハッカーは、SOHOルーターが、サイクル終了(end of life)のステータスになっているのを狙っていること(15)、KVボットネットのマルウエアは、VPNのモジュールもダウンロードすること(16)、FBIは、数百ものSOHOルーターを特定死していること(18)が供述されています。
法的には、ハッカーは、それらのルーターをコンピュータ犯罪の実行に利用し、その道具としており、政府は、それを押収することができ、また、さらに、犯罪の証拠であり、合衆国は、ルーターを捜索して、マルウエアを押収することができることになります(19)。KVボットネットを特定するためにFBIは、ボットネットにそれらのノードを特定できるような指令を送信しました(具体的な方法は、マスキングされています、20)。この指令は、KVボットネットに感染していないルーターには、影響しません(20)。 FBIは、サーバーを物理的に押収するのではなく、より侵襲的ではない、リモートの手段を採用して押収をおこなっています。すなわち、マルウエアのプロトコルを用いて、KVボットネットのマルウエアを消去する指令を送信しています(21)。また、同時に、ハッカーの指令通信を妨害することにより再感染を防止しています(22)。また、上記VPNプロセスを停止する指令も送付しています(23)。
14日の間に上記活動を繰り返すことをもとめています(25)。また、申立書および令状の封緘と通知の60日間の遅延を求めています(27)。
法執行による活動ですが、ツールによる無害化・データ収集というのは、興味深いです。他の令状(リンク)も同様のようです。
2 Flax typhoon事件
2.1 概要
Flax Typhoon は、中国を拠点とする国家支援型とみられるAPT(高度持続的脅威)グループであって、主な目的は スパイ活動(諜報) とされ、破壊行為ではなく長期的な潜伏と情報収集に重点を置いており、Microsoftが2023年8月に初めて公表した名称で、台湾を中心に数十の組織を標的にしていると報告されています。(リンク)
ちなみに Co-PilotでVolt Typhoonとの比較表を作ってみるとんこんな感じです。
Volt Typhoon vs Flax Typhoon 比較表
| 項目 | Volt Typhoon | Flax Typhoon |
| 初出 | 2023年5月頃に米国政府・Microsoftが公表 | 2023年8月にMicrosoftが公表 |
| 主な標的 | 米国の重要インフラ(通信、エネルギー、水道、運輸、特にグアム) | 台湾の政府機関、教育機関、重要インフラ |
| 主な目的 | 有事に備えた インフラ妨害能力の確保(軍事戦略的) | 長期的なスパイ活動(情報収集・監視) |
| 攻撃手法 | – Living off the Land(標準ツール悪用)
– SOHOルーター乗っ取り – KV Botnet構築 |
– マルウェア使用を最小化
– VPNや正規リモート管理ツール悪用 – OS標準コマンド利用 |
| 特徴 | – 外部マルウェアをほぼ使わず痕跡を残さない
– 有事にインフラを混乱させる潜在能力 |
– 静かに潜伏し長期的にアクセス維持
>- 破壊活動は観測されず、情報収集に特化 |
| 想定される戦略的役割 | 台湾有事の際に米軍展開を妨害 | 台湾の政治・軍事・経済情報を平時から収集 |
| 他APTとの違い | 「攻撃準備型APT」 | 「スパイ特化型APT」 |
2.2 命令の分析
この事件について、FBIの積極的な活動についてのプレスリリースは、
「Flax Typhoon-裁判所が認可した作戦-ハッカーのコンピューターインフラの掌握、とりわけ、感染デバイス上のマルウェアというインフラを通じての無効化コマンド送信」(Flax Typhoon.” The court-authorized operation took control of the hackers’ computer infrastructure and, among other steps, sent disabling commands through that infrastructure to the malware on the infected devices. )(https://www.justice.gov/archives/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used-peoples-republic-china-state)
になります。
令状の原稿付宣誓供述書が公開されています。この構成ですが、序、エージェントのバックグラウンド、法的な根拠、ミライマルウエアの変種、FLAX TYPHOONは、ミライボットネットを利用する、LAX TYPHOONとミライボットネットはインテグリティ技術グループと連携、実施の方法、時間、封緘および通知遅延の要求、結論からなりたっています。
ミライマルウエアの変種においては、
- 2024年5月に、FBI が、分析した結果、その特定の変種においては、SOHOルーター、IPカメラ、DVR(デジタルビデオレコーダー)、NAS(ネットワークストレージ)などのインターネット接続機器が、C2サーバに接続するドメインネーム(w8510.com以下の含む)を有していたこと(12)。
- 2024年7月にFBIは、C2サーバを特定した。それらのサーバは、TCPポート34125と通信する他の上流管理サーバによってコントロールされていた(13)。
- 管理サーバは、MySQLデータベースをホストしており、同データベースは、感染した被害デバイスのテーブルを含んでいた(14)
- 世界中で120万台以上が一度は感染し、そのうち約26万台(米国内約12.6万台)が2024年時点でアクティブに感染していた。
が述べられています。
「FLAX TYPHOONは、ミライボットネットを利用する」においては、
- FBIは、C2サーバや管理サーバを監視しており、中国ユニコム北京地方のネットワークに登録されていたIPアドレスからアクセスされていた(17)
- 2023ねっ8月にMS脅威インテリジェンスが、Flax Typhoonという中国ハッカーを交渉したこと(18)
- 2023年9月に、カリフォルニアの被害企業が、コンピュータへの侵入の被害届けをなしたこと(19)
- FBIは、被害企業のサーバに無権限で侵入したものが、中国ユニコムの同一のものであることなどをつきとめた(20)
- 上記サーバーは、他の被害に対する侵入にも利用されていたこと(21)
が述べられています。
「LAX TYPHOONとミライボットネットはインテグリティ技術グループと連携」においては、
- 上流管理サーバにおいては、ボットネットのC2サーバ/ボットを管理するアプリケーション(アプリ名は麻雀)をホストしており、ボットに、ファイルのダウンロード、指令のリモート実行、ボットネットの拡大やサイバー攻撃の指揮を命じていた(22)。写真は、供述書からスクリーンョット。
- 上のアプリに特定のユーザが、繰り返してアクセスしており、FBIは、Flax Typhoonの活動とボットネットをコントロールしている麻雀(sparrow)アプリの利用者は、同一であると判断した(23)
- 麻雀(sparrow)アプリのソースコードは、KRlabというフォルダーのもとに置かれており、個人と紐付いていると考えられ(24)、中国北京のインテグリティ・テクノロジーグループという公開会社のKRLabというブランドのもと(26)、複数のプロキシーサービスを作成する特許が申請されている技術を利用している(27)。
- 麻雀(sparrow)アプリは、「脆弱性アーセナル(武器庫)」というC2サーバを通して、ボットに指令を伝達し、侵入や攻撃をするのに利用できるようにする(25)
実施の方法において、FBIは、
- Fla Typhoonの攻撃者が、C2サーバにアクセスして指令を出すのを防止すること
- 感染している機器のリストを提供するように指令を送信すること
- C2サーバと感染デバイスの通信チャンネルを終了させること
- C2サーバの情報を優秀すること
- C2サーバの活動を停止すること
などを求めています。(具体的な手法については、マスキングされている)
3 ライバルハッカーの乗っ取りのケース
3.1 概要
FBIが一掃したばかりのハッキング済みデバイスを、ハッカーたちが再び乗っ取ったという事件(2025年9月)として、Aisuruボットネットによる11.5 TbpsのDDoS攻撃や約30万台のルーター感染についての報道がなされています。具体的には、
- How hackers turned devices ‘cleaned’ by FBI into weapons(リンク)
- How Botnets Like Aisuru Are Turning Smart Devices Into Cyber Weapons(リンク)
- Botnet cyber attacks: FBI released infected computers and devices after ‘cleaning’ them. Now, hackers have turned them into weapons (リンク)
などが、報道としてあげられています。
3.2 FBIのオペレーション
どの事件か?
報道の趣旨としては、
- FBIの活動 FBIは裁判所命令に基づき、約95,000台の感染デバイス(ルーター、スマートTV、防犯カメラなど)からマルウェアを削除。
- 感染機器を「クリーン」にしてボットネットから解放し、所有者に返却した。
しかしながら、その後の問題として、再感染の発生としてFBIがマルウェアを削除した後、セキュリティ更新や防御策が不十分なまま放置された機器が多数存在し、その「空き状態」の機器を狙い、Aisuruボットネットが即座に再感染させました。FBIが解放した機器の約4分の1がAisuruに乗っ取られたと報告されています。
ところで、このオペレーションについて、FBIのどの作戦かは、いまひとつ明確にはなっていないです。今年の作戦としては
などがあります。時期的には、“Rapper Bot” 事件と思われますが、特定はできないところです。
“Rapper Bot” 事件の概要
概要
• Rapper Bot は、2021年頃から活動が確認されている IoT機器を悪用した大規模DDoSボットネットで、別名:Eleven Eleven Botnet、CowBotといいます。 主に デジタルビデオレコーダー(DVR)やWi-Fiルーターを感染させ、攻撃者が遠隔操作できる「ゾンビ端末」に変えます。上の司法省のプレスリリースにあるように2025年8月にに米司法省(DOJ)が摘発し、管理者とされる米国オレゴン州の22歳男性イーサン・フォルツが起訴されています
技術的特徴としては、Mirai、Tsunami、fBotなど既存のIoTボットネットのコードをベースに開発されており、SSHやTelnetのブルートフォース攻撃でIoT機器に侵入します。永続化機能を備え、再起動後も感染状態を維持する能力があります。
攻撃能力
感染端末数:65,000~95,000台に及ぶものと思われ、攻撃規模:通常 2~3 Tbps、最大で 6 Tbps超におよび 2025年4月~8月の間に 37万件以上のDDoS攻撃 を実行し、80カ国・18,000以上の被害者を標的にしました。
標的には、 米国政府ネットワーク、 大手ソーシャルメディア、 米国の複数のテック企業があげられ、 攻撃は中国、日本、米国、アイルランド、香港などで特に集中して観測されました。一部の攻撃は 恐喝目的(Ransom DDoS) にも利用されたとされる。
法執行機関の対応
2025年8月、米司法省とFBI、そして国防総省犯罪捜査局(DCIS)が連携し、Rapper Botの摘発に踏み切りました。
オレゴン州に住む22歳の若者の自宅を家宅捜索し、ボットネットの管理権限を押収。これにより、世界中で数十万件のDDoS攻撃を繰り返していたRapper Botは一気に沈黙しました。
押収後はDCISが制御を引き継ぎ、感染端末からの攻撃は観測されなくなったと報告されています。今回の作戦は、国際的にDDoS攻撃代行サービスを根絶する「Operation PowerOFF」の一環でもありました。
3.3 Aisuruの攻撃
Aisuruの攻撃について、2025年10月現在も非常に記録的な攻撃が続いているようです。記事としては
- DDoS Botnet Aisuru Blankets US ISPs in Record DDoS
- AISURU Botnet With 300,000 Hijacked Routers Behind The Recent Massive 11.5 Tbps DDoS Attack
などがあります。
ゲームに対する影響についての日本語の記事として具体的な報道としては、「SteamやPSNなど世界規模でゲームサービス障害が発生、AISURUボットネットが原因か?」があります。
2025年9月1日、11.5Tbps規模のDDoS攻撃が発生し、過去最大級の記録になります。攻撃は数万人規模の家庭用回線を一度に圧倒できる強度で、主要なオンラインサービスに深刻な影響を与えました。
