Google脅威分析グループは、FBIなどと共同で大規模悪質プロキシ「NetNut」をテイクダウンしたと発表した。家庭のスマートTVなど200万台超をボット化し、国家スパイやサイバー犯罪者が企業の検知をすり抜ける踏み台としていた。脅威の手口と、企業のIT管理者や一般ユーザーが今取るべき対策を解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleの脅威分析グループGTIG(Google Threat Intelligence Group)は2026年7月3日、FBI(米連邦捜査局)や通信大手のLumenらと共同で、悪質レジデンシャルプロキシ(Residential Proxy)ネットワーク「NetNut」のテイクダウンを実施したと発表した。
レジデンシャルプロキシネットワークは、一般家庭向けに割り当てられたIPアドレスとインターネット回線を経由して通信をルーティングするサービス。中継点となる家庭の同意などがある限り、それ自体は違法とは言えない。だが、サイバー攻撃者がこれを悪用することで、正規の家庭用IPアドレスからの接続に見せかけられる。このため、セキュリティ製品や認証システムによるサイバー攻撃の検知を容易に回避できることになる。
NetNutはマルウェアを通じて、ユーザーに気付かれないように家庭用デバイスを侵害し、大規模な中継ネットワークを構築してサイバー攻撃者に提供していた。
GTIGによると、NetNutの規模は世界全体で少なくとも200万台以上のデバイスに上る。この巨大なボットネットを構築するため、NetNutの運営者らはスマートTVやストリーミングボックスなど、家庭用スマートデバイスに組み込むソフトウェア開発キット(SDK)を配布していた。また、大規模ボットネット「Badbox 2.0」向けのプラグインコンポーネントとしても機能していたことが確認されている。
家庭用デバイスがこの悪質なプロキシネットワークに取り込まれる主な経路は下記の2つ。
一般ユーザーにとっては、知らないうちに自身の家庭のIPアドレスがサイバー攻撃の踏み台として悪用されることになる。これにより、正規の通信がISP(インターネット接続業者)からブロックされたり、同一ネットワーク内の他のプライベート機器に攻撃者が侵入したり、DDoSボットネットに再感染したりといった被害リスクにもさらされる。
今回の共同作戦において、Googleは以下の措置を行った。
1. C2インフラの無効化
NetNutがマルウェアのコマンド&コントロール(C2)に利用していたGoogleアカウントと関連サービスを無効化した。「Googleの利用規約やプログラムポリシーへの重大な違反に基づく措置」だとする。
2. 技術インテリジェンスの共有
NetNutのSDKやC2サーバのバックエンドインフラに関する調査データを、他のプラットフォームプロバイダーや法執行機関、セキュリティ研究機関と共有。エコシステム全体で迅速な情報共有とブロック対応を行える態勢を構築した。
3. Google Play Protectによる自動検知と保護
AndroidおよびAndroid TVの標準セキュリティ機能である「Google Play Protect」を通じて、NetNut SDKを含んでいることが判明したアプリケーションを自動的に検知・無効化し、ユーザーに警告を表示した。今後の新規インストールも継続的にブロックする。
今回のテイクダウン活動により、NetNutの運営者が攻撃者に提供していたデバイスプールは「数百万台」規模で減少し、大きな打撃を与えたとGTIGは報告している。
また、NetNutは独自のブランドでプロキシサービスを販売するだけでなく、自社のプロキシインフラをホワイトラベルとして他社ブランド向けに幅広く展開していた。GTIGの分析では、闇市場に流通する多くの人気レジデンシャルプロキシブランドが裏でNetNutを利用していたことが確実視されており、今回のテイクダウンはプロキシ業界全体に大きな波及効果をもたらしたという。
GTIGの観測によると、2026年6月のわずか1週間の間に、サイバー犯罪グループや国家支援型のスパイ活動グループを含む、少なくとも316の脅威クラスタが、NetNutの出口ノードを使用していたことが明らかになっている。こうした攻撃者は、標的組織への侵入、攻撃用C2インフラへのアクセス、大規模なパスワードスプレー攻撃などの際に、NetNut経由で本来のIPアドレスを隠ぺいしていた。
悪質レジデンシャルプロキシのエコシステムを崩壊させるには、テック企業全体の協調が必要だが、個人のユーザーや企業のシステム管理者が取れる対策も存在するとGTIGは指摘する。
GTIGが一般ユーザーに勧める対策は次の通り。
一方、企業のIT管理者が取れる対策は何か。
レジデンシャルプロキシ経由のアクセスは通常のブロッキングやジオロケーションによる判別が難しいため、不審な認証試行や接続元に対する行動検知(アノマリ検出)や多要素認証(MFA)の厳格化など、多層防御の適用が改めて必要、とGTIGはアドバイスしている。
Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ