オランダ国家警察と同国の国家サイバーセキュリティセンター(NCSC)は、1700万台のデバイスを制御するボットネットのサーバー200台をオフラインにしたと、同法執行機関が木曜日に発表した。
この捜査は、NCSCがセキュリティ研究者からの報告を受けて開始されたもので、ボットネットは少なくとも1700万台の感染デバイス——コンピューター、携帯電話、IoTデバイス、ルーターなど——で構成されており、インフラのホストに使用されていた200台のサーバーがオランダ国内に物理的に設置されていたことが判明した。
ハーグ警察のサイバー犯罪部門がホスティングプロバイダーからボットネットのサーバーを押収し、犯罪目的に使用されていたとして同プロバイダーによってボットネットはオフラインにされた、とオランダ警察は述べた。
住宅用プロキシネットワークの悪用
法執行機関は当該ボットネットの名称を明らかにしなかったが、オランダのニュースメディアNL Timesは、これがAsocksという商用の住宅用・モバイルプロキシサービスを支えるインフラの一部であると報道した。
発表の前日、NCSC NLは住宅用プロキシとその悪用——DDoS攻撃、スパム送信、クレデンシャルスタッフィングおよびブルートフォース攻撃、クリック詐欺やSMSポンピング、マルウェア配布——に関する詳細な投稿を公開した。
「住宅用プロキシは実在の信頼できるIPアドレスを使用するため、その悪用は検知やブロックが非常に困難です。多くのセキュリティシステムやウェブサイトは、データセンターや匿名VPNからのトラフィックよりも、住宅用プロキシのIPからのトラフィックをより信頼します。結局のところ、住宅用プロキシは一般市民のものであり、その人物が従業員や顧客である可能性も十分にあるからです」と、NCSCは説明している。
「住宅用プロキシは匿名性の維持や地理的制限の回避に使用されます。これにより、オランダの組織が『通常の』トラフィックと類似した特徴を持つオランダのプロキシを使って攻撃される可能性があり、サイバー犯罪の緩和が困難になります。」
また、一部のユーザーは意図的かつ意識的にプロキシソフトウェア(いわゆるプロキシウェア)をインストールする一方、知らないうちにインストールしてしまう場合(例:バンドルされたフリーソフトウェアをインストールした場合など)や、プロキシ機能をインストールするマルウェアによってデバイスが侵害される場合もあると指摘した。
長年にわたり、HUMAN SecurityのSatori脅威インテリジェンスチームの研究者たちは複数のプロキシネットワークを摘発しており、2年前には多数のデバイスが密かにプロキシネットワークに組み込まれる原因となったコードライブラリを特定した。
PROXYLIBと呼ばれるそのライブラリは、開発者がアプリの利用を収益化するために使用するLumiAppsというポピュラーなソフトウェア開発キット(SDK)に組み込まれていた。
「ユーザーがlumiapps[.]ioでアカウントを登録すると、確認メールのヘッダーにbproxy[.]oneというドメインが含まれており、このドメインはもはやアクセス可能なウェブページを持っていません。しかし、archive[.]orgでこのドメインを検索すると、2023年2月23日時点でスタイルのないAsocksウェブサイトのバージョンが存在していました。その結果、Satori研究者たちは2つのサービスが関連しており、同一の脅威アクターによって所有または運営されている可能性が高いと確信しています」とHUMAN Securityは当時述べた。
住宅用プロキシ市場はかなり不透明であり、多くのプロバイダーはネットワーク内のプロキシが合法的な目的に使用されることを確認していないと、Sekoia.ioとOrange Cyberdefenseの研究者たちはかつて警告していた。
1年前、米国とオランダの法執行機関は、犯罪者向けに販売・利用されていたレンタル型プロキシサービスである5socksとAnyproxyを摘発した。今年初めには、複数のヨーロッパ諸国と米国の法執行機関が同様に、悪意あるプロキシサービスSocksEscortを解体した。
