インターネット上の脆弱なIoT機器はマルウェアに感染しボット化することが知られているが，これらの機器が長期間攻撃を受け続けた場合，どのような状態に至るのかは知られていない．本研究では，脆弱なIoT機器が，インターネットから攻撃を受け続けている現状に近い状態で攻撃を観測できるシステムを構築し，一連の攻撃活動を調査した．2023年6月2日から7月24日までに5種類の機器で攻撃を観測したところ，既存研究等で報告されているポートの遮断や感染プロセスの停止だけでなく，他のマルウェアのダウンロードの妨害や，機器の再起動による他のマルウェアの排除などが観測された．また，侵入に成功した認証情報を使い，感染後も継続的に機器を攻撃しマルウェアへ感染させ，他のマルウェアによる排除や機器の再起動に対抗する動きも観測された．このような熾烈な主導権争いにより，機器の占有に成功するマルウェアが多く観測された一方で，悪用されるLinuxコマンドの有無や攻撃が届く順序により占有が失敗したり，複数のマルウェアに多重感染する事例も見られ，最大で三重感染の事例が確認された．

While it is a well-known fact that vulnerable IoT devices can be infected with malware and turned into bots, it is actually not known what would really happen to them if continuously exposed to the Internet with prevalent attacks and hostile malware. In this research, we constructed an attack observation system that closely monitors the status of the bare-metal honeypot devices and controls the traffic to investigate a series of attacks in the long term. We exposed five devices on the Internet from June 2nd to July 24th, 2023 using the system and observed aggressive behavior of attackers trying to exclusively occupy the infected devices, such as blocking and shutting down the network services for intrusion, interrupting downloads of intruding malware, and eliminating the existing malware by killing the processes or rebooting the devices. We also observed attacks that continuously intrude and infect the target devices even after a successful infection. While some of the exclusive actions were successful and devices often become occupied with a single malware process, we also observe the cases of simultaneous infections with multiple malware, including triple infections. We summarize that it is not determined what state each device will end up with depending on the order of attack arrival and the nature of the devices, including default admin credentials, the availability of watchdog functionality of network services, and Linux commands misused in these attacks.