2025年8月6日、オレゴン州スプリングフィールドに住む22歳の男性、イーサン・J・フォルツが、DDoS攻撃を行うために使用される「Rapper Bot」という大規模ボットネットを運営していたとして逮捕されました。
フォルツは、彼自身が運営するボットネットをオンラインの脅迫者に賃貸し、2025年3月に実行されたTwitter/XをダウンさせるDDoS攻撃を含む多数の標的に対して攻撃を行ったとされます。
司法省は、フォルツと無名の共謀者がボットネットを使用して、いくつかの攻撃を行ったことを主張しています。
そのボットネットは、何万台ものハッキングされたIoTデバイスから構成されており、2テラビットを超える攻撃トラフィックを生成することができました。
特にトラフィックの増加によって、標的のサーバーに対しては大きな問題を引き起こすことが可能でした。
フォルツのボットネットは、通常、サーバーの処理能力をはるかに超えるトラフィックを集中させることができ、時には6テラビットを超える攻撃を行っていたとのことです。
このボットネットは、特に中国に拠点を置くオンライン事業者から高額の賃金で利用されていたということです。
フォルツの場合、特に賭博業者に対して頻繁に攻撃が行われていたとみられます。
フォルツの逮捕は、アメリカ国防総省の犯罪捜査部門DCISによって行われ、DCISはこのボットネットが多くの攻撃を行っていたことを指摘しています。
裁判文書によれば、フォルツはアメリカのISPに送られた召喚状を通じて追跡され、PayPal経由でボットネットの管理に必要なアカウントが支払われていたことが明らかになりました。
その結果、フォルツは自身のGmailアカウントや以前使用していたIPアドレスが特定されました。
Googleに対する召喚状により、フォルツはRapper Botに関するセキュリティブログの最新情報を常に探していたことが発覚しました。
捜査官が自宅に対する捜索令状を持参した際、フォルツはRapper Botを構築し運営していることを認め、収益を「Slaykings」というハッカーのニックネームの人物と50/50で分け合っていたと供述しました。
また、彼はSlaykingsとのTelegramチャットのログも調査官に提供しました。
その中で二人は、法執行機関から逃れるためにどのようにボットネットを管理すべきかを話し合っていました。
特に彼らはKrebsOnSecurity.comへの攻撃について言及しており、その攻撃は6.3テラビットのトラフィックを記録したものでした。
この攻撃は、当時Googleがこれまでに緩和した中で最大のDDoS攻撃とされていました。KrebsOnSecurityは、Googleがニュースや人権、選挙関連コンテンツを提供するための無料DDoS防御サービスProject Shieldのもとにあるためです。
フォルツとSlaykingsは競合への注意を払っており、DDoS攻撃が自身のボットネットへの注目を不当に引き込む可能性に非常に敏感だったと述べられています。
彼らは、攻撃がKrebsのような著名なサイバーセキュリティジャーナリストを対象に行われることに否定的でした。
フォルツのボットネットは、2025年4月から8月初めまでの間に370,000件以上の攻撃を行い、18,000のユニークな被害者をターゲットとしていました。
その大部分の被害者は、中国、日本、アメリカ、アイルランド、香港に所在していると見られています。
司法省は、Rapper Botの背後にはfBotとして知られるDDoSマルウェアストレインが関与していると指摘しています。
このfBotは、2016年にソースコードが流出されたMirai IoTボットネットの変種です。
フォルツとそのパートナーは、ほとんどの顧客に対して60秒以上の攻撃を行わせないようにしていたため、ボットネットが公に注目を集めることはなかったと言われています。
しかし、特定の高額顧客に対しては、より長期間の攻撃を許可していたということです。
DDoS攻撃の規模は被害者に対して壊滅的な経済的影響を与えることが多く、適切なネットワークエンジニアリングソリューションやDDoS防御技術にかかるコストが高額になる可能性があるため、被害者は脅迫の要求にさらされることが多いそうです。
フォルツは、ボットネットの使用者や攻撃ログを約1週間ごとに消去していたため、検察側は攻撃の回数や顧客、標的を正確に把握できていないと言われています。
彼は、捜索令状が執行される数日前に、32,000台の新しいデバイスが新たな脆弱性を持つことを発見したとも主張しています。
最終的に、フォルツは自宅の捜索が行われる直前に「またしても、私たちはコミュニティ内で最大のボットネットを持っています」と述べています。
このように、フォルツはRapper Botにより大きな利益を上げていたことを示唆しています。
捜査官のペターソンは、「フォルツの横に座り、そのメッセージが流れるのを見ていた。彼は日ごとに830ドル、次に1,000ドルと収益が増加していく様子を観察していた」と記述しました。
フォルツはチャットの中で、Rapper Botの収益が日々増加していると自信を持って語っていました。
このように、継続的な成長が観察される中、フォルツは法執行機関による注意をどのように回避しようとしていたのかに注目が集まります。
画像の出所:krebsonsecurity