検索
ニュース

GoogleやFBI、悪質プロキシ「NetNut」をテイクダウン スマートTVなど200万台超をボット化

Google脅威分析グループは、FBIなどと共同で大規模悪質プロキシ「NetNut」をテイクダウンしたと発表した。家庭のスマートTVなど200万台超をボット化し、国家スパイやサイバー犯罪者が企業の検知をすり抜ける踏み台としていた。脅威の手口と、企業のIT管理者や一般ユーザーが今取るべき対策を解説する。

PC用表示
Share
Tweet
LINE
Hatena

 Googleの脅威分析グループGTIG(Google Threat Intelligence Group)は2026年7月3日、FBI(米連邦捜査局)や通信大手のLumenらと共同で、悪質レジデンシャルプロキシ(Residential Proxy)ネットワーク「NetNut」のテイクダウンを実施したと発表した。

レジデンシャルプロキシがサイバー攻撃者にとって格好のツールに

 レジデンシャルプロキシネットワークは、一般家庭向けに割り当てられたIPアドレスとインターネット回線を経由して通信をルーティングするサービス。中継点となる家庭の同意などがある限り、それ自体は違法とは言えない。だが、サイバー攻撃者がこれを悪用することで、正規の家庭用IPアドレスからの接続に見せかけられる。このため、セキュリティ製品や認証システムによるサイバー攻撃の検知を容易に回避できることになる。

 NetNutはマルウェアを通じて、ユーザーに気付かれないように家庭用デバイスを侵害し、大規模な中継ネットワークを構築してサイバー攻撃者に提供していた。

 GTIGによると、NetNutの規模は世界全体で少なくとも200万台以上のデバイスに上る。この巨大なボットネットを構築するため、NetNutの運営者らはスマートTVやストリーミングボックスなど、家庭用スマートデバイスに組み込むソフトウェア開発キット(SDK)を配布していた。また、大規模ボットネット「Badbox 2.0」向けのプラグインコンポーネントとしても機能していたことが確認されている。

 家庭用デバイスがこの悪質なプロキシネットワークに取り込まれる主な経路は下記の2つ。

  • デバイスの購入前に、あらかじめマルウェアがプリインストールされている
  • ユーザーが「インターネット接続帯域幅を共有すれば報酬を得られる」などのうたい文句に誘われ、プロキシ用のコード(SDK)が隠されたサードパーティー製アプリを気づかずにダウンロードする

 一般ユーザーにとっては、知らないうちに自身の家庭のIPアドレスがサイバー攻撃の踏み台として悪用されることになる。これにより、正規の通信がISP(インターネット接続業者)からブロックされたり、同一ネットワーク内の他のプライベート機器に攻撃者が侵入したり、DDoSボットネットに再感染したりといった被害リスクにもさらされる。

NetNutに対して実施したテイクダウンの内容

 今回の共同作戦において、Googleは以下の措置を行った。

1. C2インフラの無効化

 NetNutがマルウェアのコマンド&コントロール(C2)に利用していたGoogleアカウントと関連サービスを無効化した。「Googleの利用規約やプログラムポリシーへの重大な違反に基づく措置」だとする。

2. 技術インテリジェンスの共有

 NetNutのSDKやC2サーバのバックエンドインフラに関する調査データを、他のプラットフォームプロバイダーや法執行機関、セキュリティ研究機関と共有。エコシステム全体で迅速な情報共有とブロック対応を行える態勢を構築した。

3. Google Play Protectによる自動検知と保護

 AndroidおよびAndroid TVの標準セキュリティ機能である「Google Play Protect」を通じて、NetNut SDKを含んでいることが判明したアプリケーションを自動的に検知・無効化し、ユーザーに警告を表示した。今後の新規インストールも継続的にブロックする。

「数百万台」規模で減少、ホワイトラベル再販事業者にも打撃

 今回のテイクダウン活動により、NetNutの運営者が攻撃者に提供していたデバイスプールは「数百万台」規模で減少し、大きな打撃を与えたとGTIGは報告している。

 また、NetNutは独自のブランドでプロキシサービスを販売するだけでなく、自社のプロキシインフラをホワイトラベルとして他社ブランド向けに幅広く展開していた。GTIGの分析では、闇市場に流通する多くの人気レジデンシャルプロキシブランドが裏でNetNutを利用していたことが確実視されており、今回のテイクダウンはプロキシ業界全体に大きな波及効果をもたらしたという。

 GTIGの観測によると、2026年6月のわずか1週間の間に、サイバー犯罪グループや国家支援型のスパイ活動グループを含む、少なくとも316の脅威クラスタが、NetNutの出口ノードを使用していたことが明らかになっている。こうした攻撃者は、標的組織への侵入、攻撃用C2インフラへのアクセス、大規模なパスワードスプレー攻撃などの際に、NetNut経由で本来のIPアドレスを隠ぺいしていた。

一般ユーザーと企業IT管理者が取るべき対策とは

 悪質レジデンシャルプロキシのエコシステムを崩壊させるには、テック企業全体の協調が必要だが、個人のユーザーや企業のシステム管理者が取れる対策も存在するとGTIGは指摘する。

 GTIGが一般ユーザーに勧める対策は次の通り。

  • 「未使用帯域のシェアで報酬」をうたうアプリはプロキシコードの主な感染源となるため、安易なインストールは避ける
  • サードパーティー製アプリは避け、必ずGoogle Playなどの公式ストアを必ず利用し、Google Play Protectを常に有効にしておく
  • セットトップボックスなどを購入する際は、公式にAndroid TV OSが採用され、Play Protect認定を受けている企業の製品であることを確認する。

 一方、企業のIT管理者が取れる対策は何か。

 レジデンシャルプロキシ経由のアクセスは通常のブロッキングやジオロケーションによる判別が難しいため、不審な認証試行や接続元に対する行動検知(アノマリ検出)や多要素認証(MFA)の厳格化など、多層防御の適用が改めて必要、とGTIGはアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る