2025年第4四半期DDoS脅威レポート:記録的な31.4Tbps攻撃が大規模DDoS攻撃の年を締めくくる
2025年のDDoS攻撃数は2倍以上に増加。ネットワーク層への超大規模攻撃が700%増加し、特に脅威にさらされている。
キーポイント
2025年第4四半期に記録的な31.4TbpsのDDoS攻撃が発生し、年間の攻撃数は前年比121%増の4,710万件に達した
ネットワーク層DDoS攻撃は前年比3倍以上に急増し、特にAisuru-KimwolfボットネットによるAndroid TV感染端末を利用したHTTP DDoS攻撃が顕著
香港が世界第2位、英国が第6位の攻撃対象地域となり、通信事業者が最も攻撃を受けた業界として浮上
影響分析・編集コメントを表示
影響分析
この報告書は、DDoS攻撃の規模と頻度が前例のないレベルに達していることを示しており、インターネットインフラ全体のセキュリティ強化が急務であることを浮き彫りにしている。特にIoTデバイスを悪用した大規模ボットネットの脅威は、今後のサイバーセキュリティ戦略において優先的な対策対象となるだろう。
編集コメント
Cloudflareの実ネットワークデータに基づく信頼性の高い脅威分析であり、2025年のDDoS攻撃動向を理解する上で必須のレポートと言える。
2025年第四四半期 DDoS 脅威レポート:31.4 Tbpsの記録的攻撃が大規模DDoS攻撃の年を締めくくる
Omer Yoachimik
Jorge Pacheco
Cloudforce One
Cloudflare四半期DDoS脅威レポート第24版へようこそ。本レポートでは、Cloudforce OneがCloudflareネットワークのデータに基づき、分散型サービス拒否(DDoS)攻撃の進化する脅威環境について包括的な分析を提供します。今号では、2025年第四四半期に焦点を当てるとともに、2025年全体のデータも共有します。
2025年第四四半期は、「クリスマス前夜」と名付けられたDDoS攻撃キャンペーンにおいて、Aisuru-Kimwolfボットネットによる前例のない集中攻撃が特徴的でした。このキャンペーンでは、記録的な31.4テラビット毎秒(Tbps)攻撃のわずか数週間後、秒間2億リクエスト(rps)を超える超大規模HTTP DDoS攻撃により、Cloudflareの顧客だけでなく、Cloudflareのダッシュボードとインフラストラクチャが標的となりました。
2025年、DDoS攻撃は121%急増し、1時間あたり平均5,376件の攻撃が自動的に緩和されました。
2025年最終四半期、香港は12ランク上昇し、地球上で2番目にDDoS攻撃を受けた地域となりました。英国も36ランクという驚異的な上昇を見せ、6番目に攻撃を受けた地域となりました。
Aisuru-Kimwolfボットネットの一部である感染Android TVが、超大規模HTTP DDoS攻撃でCloudflareネットワークを攻撃し、通信事業者が最も攻撃を受けた業種として浮上しました。
2025年、DDoS攻撃が急増
2025年、DDoS攻撃の総数は2倍以上に増加し、4,710万件という驚異的な数に達しました。このような攻撃は近年急増しており、2023年から2025年の間にDDoS攻撃の数は236%急増しました。
2025年、Cloudflareは1時間あたり平均5,376件のDDoS攻撃を緩和しました。このうち、3,925件がネットワーク層DDoS攻撃、1,451件がHTTP DDoS攻撃でした。
ネットワーク層DDoS攻撃が2025年に3倍以上に増加
最も大幅な増加が見られたのはネットワーク層DDoS攻撃で、前年比で3倍以上に増加しました。Cloudflareは2025年に3,440万件のネットワーク層DDoS攻撃を緩和しました。これは2024年の1,140万件と比較して増加したものです。
ネットワーク層攻撃の大部分(約1,350万件)は、2025年第一四半期の18日間にわたるDDoSキャンペーンの一環として、Cloudflare Magic TransitおよびCloudflareのインフラストラクチャ自体によって保護されているグローバルなインターネットインフラストラクチャを標的としました。これらの攻撃のうち、690万件はMagic Transitの顧客を標的とし、残りの660万件はCloudflare自体を直接標的としました。
この攻撃は、SYNフラッド攻撃、Miraiが生成するDDoS攻撃、SSDP増幅攻撃などからなる多面的なDDoSキャンペーンでした。当社のシステムはこれらの攻撃を自動的に検出し緩和しました。実際、このキャンペーンを発見したのは、2025年第一四半期のDDoS脅威レポートを作成している時でした。これは、CloudflareのDDoS緩和がいかに効果的であるかの一例です。
2025年最終四半期、DDoS攻撃の数は前四半期比で31%、2024年比で58%増加しました。この増加を牽引したのはネットワーク層DDoS攻撃でした。2025年第四四半期、ネットワーク層DDoS攻撃は全DDoS攻撃の78%を占めました。HTTP DDoS攻撃の件数は横ばいでしたが、その規模は2023年のHTTP/2 Rapid Reset DDoSキャンペーン以来の水準に急増しました。これらの最近の急増は、次章で取り上げるAisuru-Kimwolfボットネットによって仕掛けられました。
「クリスマス前夜」DDoSキャンペーン
2025年12月19日金曜日、Aisuru-Kimwolfボットネットが超大規模DDoS攻撃でCloudflareインフラストラクチャとCloudflare顧客への攻撃を開始しました。このキャンペーンの新たな点はその規模でした。このボットネットは、秒間2,000万リクエスト(Mrps)を超える超大規模HTTP DDoS攻撃を使用しました。
Aisuru-Kimwolfボットネットは、主にAndroid TVを含むマルウェア感染デバイスの大規模な集合体です。このボットネットは、推定100万から400万の感染ホストで構成されています。これは、重要なインフラストラクチャを麻痺させ、ほとんどの従来型クラウドベースのDDoS保護ソリューションをクラッシュさせ、さらには国全体の接続性を妨害することも可能なDDoS攻撃を仕掛ける能力を持っています。
キャンペーン期間中、Cloudflareの自律型DDoS防御システムはすべての攻撃を検出し緩和しました。パケット集中型攻撃384件、ビット集中型攻撃329件、リクエスト集中型攻撃189件の合計902件の超大規模DDoS攻撃を、1日平均53件緩和しました。
キャンペーン中の超大規模DDoS攻撃の平均規模は、3 Bpps、4 Tbps、54 Mrpsでした。キャンペーン中に記録された最大レートは、9 Bpps、24 Tbps、205 Mrpsでした。
これを分かりやすく言うと、205 MrpsのDDoS攻撃の規模は、英国、ドイツ、スペインの人口を合わせた全員が同時にウェブサイトアドレスを入力し、同じ1秒間に「Enter」キーを押すことに匹敵します。
非常に劇的ではありましたが、「クリスマス前夜」キャンペーンは、年間を通じて観測された超大規模DDoS攻撃のごく一部に過ぎませんでした。
超大規模DDoS攻撃
2025年を通じて、Cloudflareは超大規模DDoS攻撃の継続的な増加を観測しました。2025年第四四半期、超大規模攻撃は前四半期比で40%増加しました。
2025年の間に攻撃件数が増加するにつれて、攻撃の規模も拡大し、2024年後半に見られた大規模攻撃と比較して700%以上増加し、そのうちの1件はわずか35秒間続いたDDoS攻撃で31.4 Tbpsに達しました。下のグラフは、Cloudflareが観測しブロックしたDDoS攻撃規模の急速な成長を示しています。それぞれが世界記録、すなわち当時どの企業によっても公表された中で最大の攻撃です。
他のすべての攻撃と同様に、31.4 TbpsのDDoS攻撃もCloudflareの自律型DDoS防御によって自動的に検出・緩和されました。この防御システムは、Aisuru-Kimwolfのようなボットネットに適応し、素早くロックオンすることができました。
超大規模DDoS攻撃の大部分は、通信、サービスプロバイダーおよびキャリア業界のCloudflare顧客を標的としました。ゲーム業界のCloudflare顧客や、生成AIサービスを提供する顧客も集中的に標的にされました。最後に、Cloudflare自身のインフラストラクチャも、HTTPフラッド、DNS攻撃、UDPフラッドなどの複数の攻撃ベクトルによって標的とされました。
最も攻撃を受けた業種
あらゆる規模のDDoS攻撃を分析すると、通信、サービスプロバイダーおよびキャリア業界が最も標的にされました。以前は、情報技術・サービス業界がその不名誉な称号を保持していました。
ギャンブル・カジノ業界とゲーム業界はそれぞれ3位と4位にランクインしました。今四半期のトップ10における最大の変動は、コンピュータソフトウェア業界とビジネスサービス業界で、いずれも数ランク上昇しました。
最も攻撃を受ける業種は、重要なインフラストラクチャとしての役割、他のビジネスの中核的な基盤、またはサービス中断や遅延に対する即時的でハイステークスの財務的敏感性によって定義されます。
最も攻撃を受けた地域
世界で最も攻撃を受けた地域において、DDoSの状況は予測可能な安定性と劇的な変動の両方を見せました。中国、ドイツ、ブラジル、米国などの標的が上位5位を占め、攻撃者にとって持続的な魅力があることを示しています。
香港は12ランク上昇するという大きな動きを見せ、2位に躍り出ました。しかし、より大きな話題は、英国の急上昇でした。
原文を表示
2025 Q4 DDoS threat report: A record-setting 31.4 Tbps attack caps a year of massive DDoS assaults
Omer Yoachimik
Jorge Pacheco
Cloudforce One
Welcome to the 24th edition of Cloudflare’s Quarterly DDoS Threat Report. In this report, Cloudforce One offers a comprehensive analysis of the evolving threat landscape of Distributed Denial of Service (DDoS) attacks based on data from the Cloudflare network. In this edition, we focus on the fourth quarter of 2025, as well as share overall 2025 data.
The fourth quarter of 2025 was characterized by an unprecedented bombardment launched by the Aisuru-Kimwolf botnet, dubbed “The Night Before Christmas" DDoS attack campaign. The campaign targeted Cloudflare customers as well as Cloudflare’s dashboard and infrastructure with hyper-volumetric HTTP DDoS attacks exceeding rates of 200 million requests per second (rps), just weeks after a record-breaking 31.4 Terabits per second (Tbps) attack.
DDoS attacks surged by 121% in 2025, reaching an average of 5,376 attacks automatically mitigated every hour.
In the final quarter of 2025, Hong Kong jumped 12 places, making it the second most DDoS’d place on earth. The United Kingdom also leapt by an astonishing 36 places, making it the sixth most-attacked place.
Infected Android TVs — part of the Aisuru-Kimwolf botnet — bombarded Cloudflare’s network with hyper-volumetric HTTP DDoS attacks, while Telcos emerged as the most-attacked industry.
2025 saw a huge spike in DDoS attacks
In 2025, the total number of DDoS attacks more than doubled to an incredible 47.1 million. Such attacks have soared in recent years: The number of DDoS attacks spiked 236% between 2023 and 2025.
In 2025, Cloudflare mitigated an average of 5,376 DDoS attacks every hour — of these, 3,925 were network-layer DDoS attacks and 1,451 were HTTP DDoS attacks.
Network-layer DDoS attacks more than tripled in 2025
The most substantial growth was in network-layer DDoS attacks, which more than tripled year over year. Cloudflare mitigated 34.4 million network-layer DDoS attacks in 2025, compared to 11.4 million in 2024.
A substantial portion of the network-layer attacks — approximately 13.5 million — targeted global Internet infrastructure protected by Cloudflare Magic Transit and Cloudflare’s infrastructure directly, as part of an 18-day DDoS campaign in the first quarter of 2025. Of these attacks, 6.9 million targeted Magic Transit customers while the remaining 6.6 million targeted Cloudflare directly.
This assault was a multi-vector DDoS campaign comprising SYN flood attacks, Mirai-generated DDoS attacks, and SSDP amplification attacks to name a few. Our systems detected and mitigated these attacks automatically. In fact, we only discovered the campaign while preparing our DDoS threat report for 2025 Q1 — an example of how effective Cloudflare’s DDoS mitigation is!
In the final quarter of 2025, the number of DDoS attacks grew by 31% over the previous quarter and 58% over 2024. Network-layer DDoS attacks fueled that growth. In 2025 Q4, network-layer DDoS attacks accounted for 78% of all DDoS attacks. The amount of HTTP DDoS attacks remained the same, but surged in their size to rates that we haven’t seen since the HTTP/2 Rapid Reset DDoS campaign in 2023. These recent surges were launched by the Aisuru-Kimwolf botnet, which we will cover in the next section.
“The Night Before Christmas” DDoS campaign
On Friday, December 19, 2025, the Aisuru-Kimwolf botnet began bombarding Cloudflare infrastructure and Cloudflare customers with hyper-volumetric DDoS attacks. What was new in this campaign was its size: The botnet used hyper-volumetric HTTP DDoS attacks exceeding rates of 20 million requests per second (Mrps).
The Aisuru-Kimwolf botnet is a massive collection of malware-infected devices, primarily Android TVs. The botnet comprises an estimated 1-4 million infected hosts. It is capable of launching DDoS attacks that can cripple critical infrastructure, crash most legacy cloud-based DDoS protection solutions, and even disrupt the connectivity of entire nations.
Throughout the campaign, Cloudflare’s autonomous DDoS defense systems detected and mitigated all of the attacks: 384 packet-intensive attacks, 329 bit-intensive attacks, and 189 request-intensive attacks, for a total of 902 hyper-volumetric DDoS attacks, averaging 53 attacks a day.
The average size of the hyper-volumetric DDoS attacks during the campaign were 3 Bpps, 4 Tbps, and 54 Mrps. The maximum rates recorded during the campaign were 9 Bpps, 24 Tbps, and 205 Mrps.
To put that in context, the scale of a 205 Mrps DDoS attack is comparable to the combined populations of the UK, Germany, and Spain all simultaneously typing a website address and then hitting 'enter’ at the same second.
While highly dramatic, The Night Before Christmas campaign accounted for only a small portion of the hyper-volumetric DDoS attacks we saw throughout the year.
Hyper-volumetric DDoS attacks
Throughout 2025, Cloudflare observed a continuous increase in hyper-volumetric DDoS attacks. In 2025 Q4, hyper-volumetric attacks increased by 40% compared to the previous quarter.
As the number of attacks increased over the course of 2025, the size of the attacks increased as well, growing by over 700% compared to the large attacks seen in late 2024, with one reaching 31.4 Tbps in a DDoS attack that lasted just 35 seconds. The graph below portrays the rapid growth in DDoS attack sizes as seen and blocked by Cloudflare — each one a world record, i.e. the largest ever disclosed publicly by any company at the time.
Like all of the other attacks, the 31.4 Tbps DDoS attack was detected and mitigated automatically by Cloudflare’s autonomous DDoS defense, which was able to adapt and quickly lock on to botnets such as Aisuru-Kimwolf.
Most of the hyper-volumetric DDoS attacks targeted Cloudflare customers in the Telecommunications, Service Providers and Carriers industry. Cloudflare customers in the Gaming industry and customers providing Generative AI services were also heavily targeted. Lastly, Cloudflare’s own infrastructure itself was targeted by multiple attack vectors such as HTTP floods, DNS attacks and UDP flood.
Most-attacked industries
When analyzing DDoS attacks of all sizes, the Telecommunications, Service Providers and Carriers industry was also the most targeted. Previously, the Information Technology & Services industry held that unlucky title.
The Gambling & Casinos and Gaming industries ranked third and fourth, respectively. The quarter’s biggest changes in the top 10 were the Computer Software and Business Services industries, which both climbed several spots.
The most-attacked industries are defined by their role as critical infrastructure, a central backbone for other businesses, or their immediate, high-stakes financial sensitivity to service interruption and latency.
Most-attacked locations
The DDoS landscape saw both predictable stability and dramatic shifts among the world's most-attacked locations. Targets like China, Germany, Brazil, and the United States were the top five, demonstrating persistent appeal for attackers.
Hong Kong made a significant move, jumping twelve spots to land at number two. However, the bigger story was the meteoric rise of the United Kingdom, which surged an astonishing 36 places this quarter, making it the sixth most-attacked location.
Vietnam held its place as the seventh most-attacked location, followed by Azerbaijan in eighth, India in ninth, and Singapore as number ten.
Top attack sources
Bangladesh dethroned Indonesia as the largest source of DDoS attacks in the fourth quarter of 2025. Indonesia dropped to the third spot, after spending a year as the top source of DDoS attacks. Ecuador also jumped two spots, making it the second-largest source.
Notably, Argentina soared an incredible twenty places, making it the fourth-largest source of DDoS attacks. Hong Kong rose three places, taking fifth place. Ukraine came in sixth place, followed by Vietnam, Taiwan, Singapore, and Peru.
Top source networks
The top 10 list of attack source networks reads like a list of Internet giants, revealing a fascinating story about the anatomy of modern DDoS attacks. The common thread is clear: Threat actors are leveraging the world's most accessible and powerful network infrastructure — primarily large, public-facing services.
We see most DDoS attacks coming from IP addresses associated with Cloud Computing Platforms and Cloud Infrastructure Providers, including DigitalOcean (AS 14061), Microsoft (AS 8075), Tencent (AS 132203), Oracle (AS 31898), and Hetzner (AS 24940). This demonstrates the strong link between easily-provisioned virtual machines and high-volume attacks. These cloud sources, heavily concentrated in the United States, are closely followed by a significant presence of attacks coming from IP addresses associated with traditional Telecommunications Providers (Telcos). These Telcos, primarily from the Asia-Pacific region (including Vietnam, China, Malaysia, and Taiwan), round out the rest of the top 10.
This geographic and organizational diversity confirms a two-pronged attack reality: While the sheer scale of the highest-ranking sources often originates from global cloud hubs, the problem is truly worldwide, routed through the Internet's most critical pathways from across the globe. In many DDoS attacks, we see thousands of various source ASNs, highlighting the truly global distribution of botnet nodes.
To help hosting providers, cloud computing platforms and Internet service providers identify and take down the abusive IP addresses/accounts that launch these attacks, we leverage Cloudflare’s unique vantage point on DDoS attacks to provide a free DDoS Botnet Threat Feed for Service Providers.
Over 800 networks worldwide have signed up for this feed, and we’ve already seen great collaboration across the community to take down botnet nodes.
Helping defend the Internet
DDoS attacks are rapidly growing in sophistication and size, surpassing what was previously imaginable. This evolving threat landscape presents a significant challenge for many organizations to keep pace. Organizations currently relying on on-premise mitigation appliances or on-demand scrubbing centers may benefit from re-evaluating their defense strategy.
Cloudflare is dedicated to offering free, unmetered DDoS protection to all its customers, regardless of the size, duration, or volume of attacks, leveraging its vast global network and autonomous DDoS mitigation systems.
About Cloudforce One
Driven by a mission to help defend the Internet, Cloudforce One leverages telemetry from Cloudflare’s global network — which protects approximately 20% of the web — to drive threat research and operational response, protecting critical systems for millions of organizations worldwide.

関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み