この記事は、Krebs on Security、sambent.com、Cloudflare、Security Boulevard など複数の海外セキュリティメディアの報道を要約・解説したものです。
2026年2月3日、分散型匿名通信ネットワーク「I2P(The Invisible Internet Project)」が突如として大規模な障害に見舞われました。原因は、200万台以上の感染デバイスを擁するIoTボットネット「Kimwolf」が、約70万台の感染ボットをI2Pネットワークのノードとして一斉に参加させようとしたことでした。しかも、ボットネットの運用者は自らのDiscordチャンネルで「うっかりI2Pを壊してしまった」と認めたと報じられています。
I2Pとは何か
I2P(The Invisible Internet Project)は、Torと並ぶ分散型の匿名通信ネットワークです。データをボランティア運用のノード間で複数回暗号化しながら転送(オニオンルーティングに類似した仕組み)し、送信者と受信者の両方の位置情報を秘匿する設計になっています。通常時の稼働ノード数は1万5,000〜2万台程度とされています。
Kimwolfボットネットの背景
Kimwolfは2025年後半に出現したIoTボットネットで、セキュリティの脆弱なTV用ストリーミングボックス、デジタルフォトフレーム、コンシューマールーターなどを大量に感染させ、急速に拡大したとされています。Cloudflareの解説によると、Kimwolfは親ボットネット「Aisuru」のAndroid特化バリアントにあたり、世界で約200万台のデバイスを感染させているとのことです。
このボットネットは既に注目すべき実績を持っています。
- 2025年12月19日:31.4テラビット/秒(Tbps)というDDoS攻撃の記録を樹立したとCloudflareが報告
- 感染デバイスのIPを「レジデンシャルプロキシ」として販売し、収益化していたとされる
- DiscordやTelegramを通じた「DDoS-as-a-Service」として、数十ドルから数千ドルで攻撃を販売していたと報じられている
何が起きたのか:「事故」としてのSybil攻撃
Krebs on Securityの報道によると、2026年2月3日前後にI2Pユーザーが大規模な接続障害を報告し始めました。時期を同じくして、Kimwolfの運用者たちは、ボットネットの指揮統制(C2)サーバーに対するテイクダウン(停止措置)を回避するための代替通信手段として、I2Pを利用しようとしていたとされています。
I2P開発者が共有したグラフでは、Kimwolfがネットワークへの参加を試みた時期と、I2Pの接続成功率が急落した時期が一致していたと報じられています。
具体的には、Kimwolfの運用者が約70万台の感染ボットをI2Pノードとして一斉に参加させようとしたとのことです。通常1万5,000〜2万台で稼働するネットワークに対して、約35〜47倍もの数のノードが一度に流入したことになります(Sam Bentは39対1と表現)。これは「Sybil攻撃」と呼ばれるP2Pネットワークへの攻撃手法に該当するとされています。Sybil攻撃とは、単一のエンティティが大量の偽ノードを生成・制御することでネットワーク全体を混乱させる手法です。
注目すべきは、Kimwolfの運用者がDiscordチャンネルで「I2Pを意図せず妨害してしまった」と公に認めたとKrebs on Securityが報じている点です。運用者の目的はI2Pを破壊することではなく、テイクダウン耐性のある代替C2インフラとして利用することだったと見られています。
皮肉な事実:「接続を受け入れたままなら誰も気づかなかった」
Krebs on Securityの報道で指摘されている興味深い点があります。もしKimwolfの運用者が感染ボットのルーティング用着信接続を有効にしたままにしていたなら、ネットワークを強化することさえでき、ほとんど誰も気づかなかった可能性があるとのことです。
つまり、正しく設定していれば70万台のノードはI2Pネットワークの帯域を増強するリソースになり得たにもかかわらず、設定の不備によりネットワーク全体を機能不全に陥れてしまったという皮肉な結果になったとされています。
被害状況と復旧
Krebs on Securityの報道(2月11日掲載)によると、I2Pネットワークは通常の約半分の容量で稼働していたと、I2Pの前身であるIIP(2001年)の創設者であるLance James氏が述べたとされています。
I2P開発チームは対応として、バージョン2.11.0をリリースしました。sambent.comの報道によると、このリリースには以下が含まれているとのことです。
- Sam Bentの報道によると、ハイブリッドML-KEM+X25519による耐量子暗号(ポスト量子暗号)がratchetレイヤーでデフォルト有効化されたとのこと。匿名通信ネットワークとして本番環境でポスト量子暗号を全ユーザーに配信した最初期の事例の一つとされている
- 追加のSybil攻撃緩和策
- SAMv3 APIのアップグレード
- Java 17以上を最低要件とするインフラ改善
Kimwolfボットネットの現状
Kimwolfの側にも変化が起きているとされています。Krebs on Securityの報道によると、プロキシサービス追跡スタートアップSynthientの創業者ベンジャミン・ブランデージ氏は、Kimwolfの運用者がより有能な開発者やオペレーターの一部と最近対立したようだと指摘しています。その結果、ルーキーミスが発生し、ボットネットの感染数が60万台以上減少したとのことです。
また、2026年1月にセキュリティ研究者がKimwolf/Aisuruの指揮統制サーバー550台以上をnull-route(通信遮断)したとsambent.comは報じています。
日本のインフラ管理者への示唆
今回の事件は、一見すると日本のIT現場とは無関係に見えるかもしれません。しかし、いくつかの重要な示唆が含まれています。
IoTデバイスのセキュリティは依然として深刻な弱点
Kimwolfが200万台規模に急成長できた背景には、TV用ストリーミングボックスやデジタルフォトフレームなど、セキュリティアップデートがほとんど行われない安価なIoTデバイスの存在があります。日本の企業ネットワークにもこうしたデバイスが接続されているケースは珍しくなく、VLANによるセグメント分離やIoTデバイス専用ネットワークの構築が改めて推奨されます。
分散型インフラの脆弱性
I2Pのような分散型P2Pネットワークは、中央管理者がいないことが強みである一方、Sybil攻撃に対しては構造的に脆弱であることが今回改めて示されました。VPN代替やプライバシー保護の手段としてI2PやTorを業務で利用している組織は、これらのネットワークの可用性に依存しすぎないアーキテクチャを検討すべきかもしれません。
ボットネットの「DDoS-as-a-Service」化
Kimwolfは感染デバイスをレジデンシャルプロキシやDDoS代行サービスとして収益化していたとされています。こうした「サービス化」により、技術力のない攻撃者でも大規模な攻撃を低コストで発注できる状況が生まれています。防御側としては、DDoS対策の継続的な見直しと、自組織のデバイスがボットネットの一部になっていないかの監視が重要です。
出典:
- Krebs on Security – Kimwolf Botnet Swamps Anonymity Network I2P
- sambent.com – A Botnet Accidentally Destroyed I2P (The Full Story)
- sambent.com – I2P 2.11.0 Ships Post-Quantum Crypto After Botnet Siege
- Cloudflare – What is the Aisuru-Kimwolf botnet?
ちなみに
今回のインシデントの構造:Sybil攻撃とは
今回の障害の核心である「Sybil攻撃」の仕組みを少しだけ補足します。
通常、分散型ネットワーク(P2P)は多数のボランティアノードによって維持されますが、単一の攻撃者が数万〜数十万の「偽ノード」を参加させることで、ネットワークの合意形成やルーティングを麻痺させることができます。今回のケースは、攻撃者が「悪意」を持って破壊しようとしたのではなく、自身のインフラとして「利用」しようとした際の過剰な流入が結果的にSybil攻撃として機能してしまったという珍しい事例です。
コメント