Botnetの狙いの変化

Botnetの狙う機器というとどういうイメージでしょうか。
家庭向けルーターや監視カメラなど、いわゆるIoTデバイスがターゲットとなっているイメージはないでしょうか。
これらの機器は注意をもって運用することを意識しない利用者に利用されている可能性が高いかもしれませんし、実際にメンテナンスされていない機器も多いと思われます。

IoT機器は基本的に非力な場合が多いです。
特定用途向けに設計されたものですのでその用途が満たせるぎりぎりの能力にとどまっているためかもしれません。
Botnetを販売する側からするとBotnetの要素の一つ一つは非力でもBotnetを構成するnodeの数が多ければ販売するBotnetの魅力を謳えるかもしれません。
しかし元のそれぞれの要素の能力が極端に低い場合、いくら束ねてもその全体の能力はそれほど大きなものにはならないともいえます。

このあたりのことが関係しているのでしょうか。
最近はBotnetを構成する要素の様子が変化してきています。

みなさんはVPSは使っていますか？
VPSはVirtual Private Serverです。
クラウド上で利用できるもので、１台の物理サーバー上に複数の仮想サーバー領域を設定して、複数のユーザーでそれぞれのサーバー領域を使用する形式サーバーです。
VPSは特定用途向けに提供されるものではないため、契約者が選択可能なように能力には幅がもたせてあります。
しかし、IoT機器に比較するとどのVPSホストも格段に大きな能力を持っているといえます。
VPSはそれぞれの仮想サーバー領域が独立しているため、契約者はその機器の運用は自身で行うこととなります。
利用用途に合わせて自由に利用できるため費用対効果が高く、多く利用されています。
一方で、独立性が高いのは利用面だけではなく運用面でも独立性が高いといえます。
正しい設定を行うことができるかは利用者にかかっていますし、脆弱性対応が適切に実施できるかも利用者次第です。
全部のVPSが脆弱な状態だとは思えませんが、少なくない割合で褒められない運用状態のホストも多そうです。

Botnetの全体能力を高めたいという流れと、うまくない運用状態のVPSのホストが多く存在しているという状況があわさり、Botnetに取り込まれてしまったVPSホストが多くなってきています。

そしてBotnet業界はこの高能力化を実現したことで、より大きな規模でDDoSを実行するようになってきています。
DDoSの件数でも、1回あたりのDDoSのボリュームでも大きくなってきていますし、脆弱性を悪用したDDoSも増えています。
また、GREのように処理するコストの大きいプロトコルを使用したDDoSも大幅な増加傾向にあります。

VPSに限った話ではありませんが、適切な設定の実施、タイムリーな脆弱性対応、そういった運用を継続していく必要がありそうです。

参考記事（外部リンク）：DDoS threat report for 2023 Q1
blog.cloudflare.com/ddos-threat-report-2023-q1/