2025年7月18日Ravie Lakshmananボットネット / ネットワークセキュリティ
Googleは木曜日、BADBOX 2.0ボットネットおよび住宅用プロキシインフラを運用している疑いで、中国の25の匿名の個人または団体に対し、ニューヨーク連邦裁判所で法的措置を取っていることを明らかにしました。
「BADBOX 2.0ボットネットは、Googleのセキュリティ保護がないAndroidオープンソースソフトウェア(Android Open Source Project)を実行している1,000万台以上の未認証デバイスを侵害しました」と、このテック大手は述べています。
「サイバー犯罪者は、これらのデバイスにマルウェアを事前インストールし、大規模な広告詐欺やその他のデジタル犯罪を行うために悪用していました。」
同社は、Androidに組み込まれているマルウェアおよび不要なソフトウェアの保護機構であるGoogle Play Protectを直ちに更新し、BADBOX関連アプリを自動的に阻止する措置を講じたと述べています。
この動きは、米連邦捜査局(FBI)がBADBOX 2.0ボットネットに関する警告を発したわずか1か月余り後のことです。
BADBOXは、2022年末に初めて発見され、テレビストリーミングデバイス、デジタルプロジェクター、市販の車載インフォテインメントシステム、デジタルフォトフレームなど、多くが中国で製造されたIoT(モノのインターネット)デバイスを介して拡散することが知られています。
「サイバー犯罪者は、ユーザーが購入する前に製品に悪意のあるソフトウェアを設定するか、セットアッププロセス中にバックドアを含む必要なアプリケーションをダウンロードする際にデバイスを感染させることで、家庭内ネットワークへの不正アクセスを得ます」とFBIは警告しています。
今年3月に公開された分析で、HUMAN Securityはこの脅威を、これまでに発見された中で最大規模の感染したコネクテッドTV(CTV)デバイスのボットネットと説明しました。BADBOXの感染の大多数は、ブラジル、アメリカ、メキシコ、アルゼンチンで報告されています。
初期のマルウェアは、購入前にIoTデバイスにマルウェアを仕込むサプライチェーンの侵害によって拡散していましたが、その後、非公式マーケットプレイスからダウンロードされる悪意のあるアプリを介して感染が広がるように攻撃手法が進化しています。
1,000万台以上のデバイスがこのボットネットに取り込まれたと推定されており、運用者は他の脅威アクターによる様々な違法活動を容易にするため、侵害された家庭内ネットワークへのアクセスを販売しています。
2025年7月11日に提出された訴状で、GoogleはBADBOX事業体が複数のグループで構成されており、それぞれが犯罪インフラの異なる側面を担当していると主張しています –
- インフラストラクチャグループ:BADBOX 2.0の主要なコマンド&コントロール(C2)インフラを構築・管理
- バックドアマルウェアグループ:ボットにバックドアマルウェアを開発・事前インストール
- イービルツイングループ:Google Playストアで入手可能な正規アプリの「イービルツイン」バージョンを作成し、広告を配信したり、隠しウェブブラウザを起動して隠れた広告を読み込む広告詐欺キャンペーンを展開
- アドゲームズグループ:不正な「ゲーム」を使って広告を生成
同社はまた、BADBOX 2.0の関係者がGoogle広告ネットワーク上でパブリッシャーアカウントを作成し、自らのアプリやウェブサイトで広告枠を提供し、Googleから報酬を得ていると非難しています。
「この事業体のアプリやウェブサイトの唯一の目的は、BADBOX 2.0ボットがトラフィックを生み出すための広告枠を提供することです」とGoogleは述べています。「事業体はBADBOX 2.0ボットを使ってこれらの広告を『閲覧』させ、広告のインプレッション数を稼ぎます。Googleはそのインプレッション数に対してBADBOX 2.0事業体に[…]支払います。」
さらにGoogleは、この違法な運用によって脅威アクターが自社ネットワーク上で広告詐欺から3つの異なる方法で利益を得ていることを指摘しています:一見正規のアプリを使って「イービルツイン」手法で隠し広告を読み込む、隠しウェブブラウザを開いて自作のゲームサイト上の広告とやり取りする、感染デバイスを使ってクリック詐欺を行う、というものです。
「裁判所は仮差し止め命令を出し、BADBOX 2.0事業体に対し、ボットネットの運用および関連する犯罪行為を即時に全世界で停止するよう命じ、第三者のインターネットサービスプロバイダーやドメインレジストリに対しても、指定されたドメインへのトラフィックの遮断など、ボットネットのインフラ解体に積極的に協力するよう求めました」とGoogleは述べています。
The Hacker Newsに寄せた声明で、HUMAN SecurityのCEOであるStu Solomon氏は、BADBOX 2.0の背後にいる脅威アクターに対するGoogleの行動を歓迎し、この取り組みがこうした脅威に対抗するための協力の力を示していると述べました。
「この摘発は、デバイスを乗っ取り、金銭を盗み、消費者の知らぬ間に搾取する高度な詐欺行為からインターネットを守るための継続的な戦いにおいて、重要な前進となります」とSolomon氏は付け加えました。
翻訳元: https://thehackernews.com/2025/07/google-sues-25-chinese-entities-over.html