過去4年間にわたり、Popaと呼ばれる巨大なAndroidベースのボットネットが数百万台の家庭用テレビボックスを悪用し、広告詐欺、アカウント乗っ取り、大規模なデータスクレイピングに関わるインターネットトラフィックを中継させてきました。今週、複数のセキュリティ企業の研究者たちが、Popaボットネットはナスダック上場のイスラエル企業Alarum Technologies Ltd(NASDAQ: ALAR)が運営する「レジデンシャルプロキシ」プロバイダーのNetNutと関連しているという結論に達しました。
ユーザーの自宅インターネットアドレスをレジデンシャルプロキシサービスに登録する、オンラインで販売されている悪意のあるストリーミングデバイス。画像:Synthient。
Popaは巨大なボットネットですが、侵害したシステムを大規模な分散型サービス妨害(DDoS)攻撃などの破壊的な活動に動員する従来型のボットネットとはあらゆる点で性質が異なります。むしろPopaは単一の目的のために設計されているように見えます。デバイスの登録、長期的な暗号化接続の維持、そしてオンデマンドで通信トンネルを開くことができる、持続的な通信レイヤーを実装することです。
専門家によると、Popaは非公式のAndroidベースのテレビボックスを標的とした大規模マルウェアキャンペーンであるVo1dボットネットに関連するプラグインコンポーネントだといいます。これらのデバイスは何千ものブランド名や型番で販売され、主要なECサイトで広く購入可能であり、いずれも一度きりの料金で数百もの有料動画サービスをストリーミングできると宣伝しています。
しかしFBIやセキュリティ業界の専門家が繰り返し警告しているように、これらのストリーミングボックスは通常、ユーザーのテレビを「レジデンシャルプロキシ」に変えるソフトウェアをバンドルまたはプリインストールしており、デバイスがコンセントに接続されローカルネットワークに繋がっている限り、誰でもそのデバイスを通じてインターネットトラフィックを中継できる状態になります。さらに懸念されるのは、こうしたプロキシネットワークの一部が、悪意ある顧客が疑いを持たないデバイス所有者のローカルネットワーク上のシステムと通信したり、侵害したりすることをほとんど阻止しないという点です。
Popaの起源に関する最初の手がかりは、中国のセキュリティ企業XLABによる2025年のレポートで明らかになりました。このレポートでは、侵害されたデバイスの登録と活動誘導に使用された少なくとも9つのドメイン名が指摘されていました。本日公開されたレポートの中で、セキュリティ企業Quriumは、2026年5月に同社がホストする組織を標的とした一連の破壊的かつ高コストなデータスクレイピング事案を調査する過程で、それらと同じドメインの一部を偶然発見したと説明しています。このスクレイピング活動は140万以上のインターネットアドレスに均等に分散されていました。
Quriumによると、Popaの制御に使用された数十のドメインが発見され、これらはすべて時間の経過とともに複数のインターネットアドレスで連動してホスティングされていました。gmslb[.]net、safernetwork[.]io、tera-home[.]com、そしてninjatech[.]ioがその例として挙げられています。さらに調査を進めると、gmslb[.]netがCRICFy、DooFlix、Sprozfy、RTS Tv、Flixoid、CyberFlix、Rapid Streamz、TvMob、HD/OceanStreamsといった数十の海賊版または改造された動画ストリーミングアプリで参照されていることが判明しました。
Quriumのレポートによると、Popaボットネットの制御に長く使用されてきたドメインの大部分は、Google、HUMAN Security、Trend Microが連携してVo1dと密接に関連するボットネットBadbox 2.0を妨害した2025年7月以降に差し押さえまたは解体されました。Quriumによれば、その妨害直後にPopaボットネットのコントローラーとして機能する数十の新しいドメインが登録されましたが、その中の1つは新しいドメインではありませんでした。それがninjatech[.]ioです。
NinjatechはMoishi Kramerが設立した企業で、そのLinkedInプロフィールによると、彼はNetNutの研究開発担当副社長を務めています。この経歴では、Alarum Technologiesによる買収前に、NetNutを「ゼロから」構築し、「アーキテクチャを設計」し、「NetNutをスケールさせた」功績がKramer氏にあるとされています。求人ボードF6Sに自身で作成したリスティングでは、KramerがNinjatechドメインの唯一のオーナーとして記載されています(そのスクリーンキャプチャを以下に示します)。
画像:F6S.com。
メールで回答したKramer氏は、Ninjatechは約5年前に事業を終了しており、その際にPopaというSDK(ソフトウェア開発キット)を売却したと述べました。このSDKはデバイスの帯域幅のごく一部を使用し、ホストアプリケーションがユーザーの同意を得た後にのみ動作するよう設計されていたとしています。
「そのコードは数年前に再販業者を含む第三者に売却・ライセンス供与されました」とKramer氏は述べました。「ソフトウェアがそのような形で配布されると、元の開発者は他者がその後どのように改変、リブランド、またはデプロイするかを一切管理できません。」
Kramer氏は、自身もNetNutもPopaと説明されているインフラを構築・運用・維持していないと主張し、Ninjatechドメインも管理していないと述べています。
「あなたが言及している2025年6月のドメインは私が登録したものではなく、誰が登録したかもわかりません」と彼は続けました。「私はそのインフラに対して管理権も可視性もありません。そのインフラが私やNetNutによって運営されていないということしか言えません。」
しかし、本日公開された別のPopaリサーチレポートの中で、プロキシ追跡企業のSynthientは最近のPopa SDKの分析によりNetNutと明らかに関連するアウトバウンドトラフィックが判明したと述べています。
「研究チームは高い確信を持って、Popaを実行するデバイスがNetnutクライアントのトラフィックを転送していると評価しています」とSynthientは記しています。「これはPopaがNetNutのプロキシプールの一部として現在も積極的に使用されていることを疑う余地なく証明しています。」
SynthientのプラットフォームがPopaからのアウトバウンドトラフィックを受信している様子。画像:Synthient.com。
NetNutのテルアビブを拠点とする親会社Alarum Technologiesは、SynthientとQuriumのレポートには「検証された事実ではなく、明らかに不正確な主張と欠陥のある推論が含まれている」と述べました。Alarumはレポートで議論されているSDKや技術を「ボットネット」と表現することを根本的に否定するという声明を発表しました。
「問題のSDKは帯域幅共有機能を促進するよう設計されており、ユーザーデバイスをマルウェアに制御されたシステムに変えたり、動作するデバイスを侵害したりするものではありません」と声明には記されています。「Netnutは商業的なプロキシネットワークを運営しており、サービスの合法的かつ責任ある利用を促進するためのポリシー、手続き、技術的措置を維持しています。」
AlaruMはNetNutが「適切な通知と同意メカニズムを重視し、顧客デューデリジェンスを実施し、潜在的な不正使用を監視し、疑わしいまたは不正な活動を検出して軽減するための措置を講じている」と述べました。
「この運営方式は、KYCチェックの実施やNetNutの顧客に対する追加的なデューデリジェンスを含む内部手続きおよびポリシーと、ネットワークの疑わしい不正使用の特定と対処を支援するために設計されたさまざまな技術的措置の両方によって支えられています」と声明は続けています。
しかし、6月8日に公開されたレポートの中で、プロキシ追跡サービスのSpurは、NetNutが顧客にプロキシアクセスの購入を許可する前に法人確認や実質的な「KYC(顧客確認)」手続きを要求していないと主張しました。
「個人が登録して支払いを行い、ユーザーが一度もオプトインしたことのない機関のアドレス空間を含むパートナーアドレス空間を通じてトラフィックを中継することができます」とSpurは記しています。「『認証済み法人のみ』という主張は、帯域幅販売者向けのマーケティングに過ぎず、実際にプロキシを使用する人への制限ではありません。」
「NetNutが唯一の窓口でもありません」とSpurは続けています。「多数のダウンストリームのホワイトラベル業者や再販業者が同じISPプロキシプールを自社ブランドで再パッケージしています。これらの販売業者は通常KYCを一切実施しておらず、少なくとも潜在的ユーザーにアカウントマネージャーを割り当てることがあるNetNut自体よりも審査が甘いです。どこを探せばよいかを知っている人であれば、使い捨てのメールアドレスと5ドル相当の暗号資産さえあれば、再販業者を通じてアクセスを購入できます。」
Synthientは、Popaの最新ビルド(3ヶ月前時点)にはプロキシコンポーネントをインストールする前にユーザーへの同意を求める機能が追加されているものの、すべてのバリアントや旧バージョンにこの機能が搭載されているわけではないと指摘しました。
「分析した20社以上の正規Popaパブリッシャーのうち、ユーザーの同意を求めているものは一件も確認されませんでした」とSynthientは記しています。
Popaの広がり
Chris Formosaは、インターネットバックボーンキャリアであるLumen Technologiesの部門Black Lotus Labsのシニアリード情報セキュリティエンジニアです。
「Popaが特に危険な理由は、NetNutが再販や共有のためにいかに広く使われているかということです」とFormosaは述べました。多くの他のプロキシサービスが独自の広範なプロキシネットワークを構築するのではなく、単純にNetNutのプロキシを再販しているという実態を説明した上で、「そのため、これらのPopa IPはエコシステム全体の非常に多くのさまざまなサービスに登場しており、現在市場で最も問題が多く危険なプロキシボットネットの一つとなっています」と続けました。
FormosaによるとPopaボットネットは1日あたり平均150万から250万の異なるIPアドレスを使用しており、活動を誘導するために250から300のインターネットアドレスを利用しています。
「だからこそPopaは非常に危険なのです」とFormosaは述べました。「過去に見た中で最大のボットネットではないかもしれませんが、業界全体に広がっているため、その影響力は非常に増幅されています。」
Formosaは、Popaが現在最大級のボットネットの一つであるとしながらも、その規模は中国を拠点とするプロキシプロバイダーIPIDEAが以前誇っていた数字と比べると見劣りすると述べました。IPIDEAは最近まで約1,000万台のデバイスからなる日次プールを運営し、誰にでもプロキシとして再販していました。2026年1月、Synthientは複数の新たな大規模DDoSボットネットがIPIDEAプロキシを通じて疑いを持たないテレビボックス所有者のローカルネットワークにトンネリングし、ユーザーのファイアウォール内にある他のAndroidベースのデバイスに感染することで急速に成長していることを示す研究を発表しました。
IPIDEAは主に、多数のテレビボックスデバイスで海賊版ストリーミングコンテンツを視聴するために使用されるSDKを基盤としていますが、1月にGoogleと業界パートナーがIPIDEAがデバイスを制御しプロキシトラフィックに使用していたドメイン名を押収するための法的措置を取った以降、サービスの規模は縮小しています。
Nokia Deepfieldのセキュリティ研究者Jérôme Meyerは、Popaボットネットに参加しているデバイスの総数はLumenの推定よりもはるかに多い可能性があると述べています。MeyerはKrebsOnSecurityに対し、Nokiaはボットネットの少なくとも359の既知のリレーノードのうち26を監視しており、各リレーノードが同時に35,000から60,000のクライアントを処理していると推定していると語りました。
「私が確認しているリレーノードのサブセット(26ノード)では、24時間で75万の固有ソースが確認されています」とMeyerは質問に答えて回答しています。
Nokia Deepfieldは本日、QuriumがNetNut/Alarum Technologiesに帰属させているVo1dボットネットのPopaプラグインに関連するVPNアプリRoboVPNに関する独自レポートを公開しました。
プロキシとデータスクレイピングの共生
専門家によると、世界の大手プロキシプロバイダーの多くがAIプラットフォームのトレーニングへの活用を強調する形でブランディングを刷新しており、それがレジデンシャルプロキシの主要な用途であることを示唆しています。AIサービスが大規模言語モデル(LLM)のトレーニングに使用できる新しいテキスト、画像、動画コンテンツを求めて常にインターネットを大規模にスクレイピングすることに依存しているためです。
NetNutをはじめとするプロキシサービスは、AIスクレイピング経済の重要インフラとして自らを再定義しています。画像:Synthient.com。
「AI企業はウェブスクレイピングコンテンツに依存しています。事前トレーニング、検索、エージェントのグラウンディング、そして検索のためにです」と、スマートテレビアプリにおけるプロキシSDKの普及を検証するInclude Securityの今月のレポートに記されています。「しかし、現代のウェブはデータセンターからスクレイピングすることができません。Cloudflare、DataDome、HUMANなどは既知のクラウドIPからのリクエストを制限またはブロックします。その回避策がレジデンシャルプロキシです。ComcastやT-Mobileの加入者の接続を通じてルーティングされたスクレイピングジョブは、料金を支払っている住宅の顧客に属するIPからターゲットサイトに到達できます。」
この絶え間ないコンテンツスクレイピングは、商業的なAI製品の「頭脳」の主要な源として大規模なデータスクレイピングを認めた大手テクノロジー企業に対する70件以上の著作権侵害訴訟を生み出しています。皮肉なことに、そのスクレイピングの多くは、非公式のAndroidテレビボックスや、海賊版コンテンツのストリーミングを名目としたSDKと密接に結びついているプロキシサービスによって支援されています。
スクレイピング活動はあまりにも攻撃的になっているため、標的となったウェブサイトが過負荷に陥り、正規の訪問者がアクセスできなくなるケースも頻繁に発生しています。多くの報告事例では、非営利団体、図書館、大学がレジデンシャルプロキシサービスに身を潜めた執拗なデータスクレイピング企業に対して、サービスをオンラインに保つために常に戦っていると訴えています。
オープンアクセスリポジトリ連盟(COAR)が昨年実施した調査では、一部のコンテンツスクレイピングボットは比較的無害であるものの、「他のものは十分に攻撃的で、リポジトリやその他の学術コミュニケーションインフラにおけるサービス障害を引き起こすことが増えている」ことが判明しました。調査回答者の90%以上が、リポジトリが攻撃的なボットに週に1回以上遭遇しており、しばしばスローダウンやサービス停止につながっていると回答しました。
「自動化されたウェブスクレイピングは新しいものではなく、30年以上にわたってGoogleなどの検索エンジンの基盤技術として機能してきました」と、査読付き学術誌の無料コミュニティ管理インデックスである開放アクセスジャーナルディレクトリ(DOAJ)のプラットフォームマネージャーBrendan O’Connellは記しています。「しかし、現在の投資家主導のAIスタートアップブームにより、OpenAIやGoogleのような既存の大手企業に加えて、AIモデルをトレーニングするための独自のスクレイピングツールを開発・展開している資金力のある企業が数千社も存在するようになっています。」
そのダイヤルには触れないで!
米国各地で、主にAIの能力向上を目的とした新しいデータセンターの急増に対して、地域コミュニティが反発しています。しかしセキュリティ専門家は、こうした非公認のAndroidテレビボックスを使用することが、スマートテレビを毎月かなりの帯域幅を消費させながら現代のAIモデルのトレーニングを支援していることをほぼ確実に意味するという事実を、一般大衆はほとんど認識していないと述べています。
これらの問題のあるテレビボックスを持たない家庭でも、SamsungやLGのスマートテレビで利用可能な数千のアプリの一つをダウンロードするだけで、スマートテレビがレジデンシャルプロキシノードに変えられる可能性があります。Spurは最近LGとSamsungのアプリストアをスクレイピングし、それぞれ約3,000のアプリがダウンロード可能であることを発見したと述べています。これらのアプリの多くはシンプルなゲームやユーティリティで、細字でユーザーのインターネット接続がデータのダウンロードに使用されること、およびいつでもオプトアウトできることが記述されています。
SpurによるとLGスマートテレビのwebOSオペレーティングシステムを通じてダウンロード可能なアプリの42%以上が、テレビを常時稼働のレジデンシャルプロキシノードに変えるSDKを含んでいることが判明しました。SamsungのTizenオペレーティングシステム向けに作られたアプリの4分の1以上にも同様のレジデンシャルプロキシコンポーネントが含まれていることが、Spurの調査で明らかになっています。
画像:Spur.us。
専門家は、プロキシSDKを含むテレビアプリが常時稼働のプロキシ接続をインストールすることについてユーザーから意味のある同意を得られるかどうかは疑わしいと述べています。特に、家庭内の誰でも(子どもを含む)シンプルなゲームやアプリをインストールするだけで、家族のテレビをレジデンシャルプロキシネットワークに実質的にオプトインさせられてしまうからです。
「プライバシーポリシーの開示はテレビにとって適切なコントロール手段ではありません」とInclude Securityは記しています。「リモコンの矢印キーで操作しながら法的文書をスクロールするのは困難であり、アプリ内の同意ダイアログは、有料顧客がユーザーの自宅インターネットを通じてスクレイピングトラフィックをルーティングしようとしていることを伝えていません。」
SpurのリサーチディレクターSean Simmonsは、使用するデバイスに関わらず、ほとんどの人々は自分のレジデンシャルIPアドレスへのアクセスを売るということが何を意味するかについての実用的な理解を持っていないとKrebsOnSecurityに語りました。
「テレビではそのギャップはさらに広がります」とSimmonsは述べました。「リモコンで操作する一度きりのプロンプトはセットアップフローの中に埋もれてしまいますが、アプリは誰もが何に同意したかを覚えていなくなった後も、接続から収益を上げ続けます。」
Simmonsは、LGとSamsungがすでにレジデンシャルプロバイダーに対して明確な線引きをした他のテレビプラットフォームに倣うべきだと述べ、サードパーティのプロキシサービスを促進するアプリを禁止するAmazonのポリシーを指摘しました。同様に、テレビストリーミングデバイスメーカーのRokuも、開発者によるプロキシSDKの使用を禁止し、それらをバンドルしたアプリを削除したと報告されています。
同意なしにユーザーにプロキシSDKを押し付ける海賊行為関連アプリ。画像:Synthient。
もちろん、デバイスをレジデンシャルプロキシノードに変えるアプリはスマートテレビや無名のストリーミングボックスに限定されていません。セキュリティ企業Infobloxが指摘しているように、モバイルアプリ開発者はソフトウェアを収益化するためにレジデンシャルプロキシネットワークが提供するSDKを製品に組み込むことができ、インストールごとに少額の報酬を受け取ることが可能です。
その結果、Infobloxによると、VPN、ストリーミングアプリ、スクリーンセーバー、PDFビューアーや休憩リマインダーといった「生産性」アプリなどの無料アプリを通じて、所有者の知らないうちにデバイスが頻繁に登録されているということです。
Infobloxの調査によると、こうしたプロキシサービスが職場に持ち込まれた従業員のデバイスからビーコン信号を送り出すケースが非常に多いことが判明しています。今月初めのブログ投稿で、Infobloxは顧客ベースの65%が1つ以上のレジデンシャルプロキシ関連ドメインにクエリを送信していることを発見したと述べています。
「2025年にはこれらのクエリが着実に成長し、年間で25%増加して月間500億件以上に達しました」とInfobloxは記しています。「製薬および食品・飲料分野の顧客の90%以上がレジデンシャルプロキシのインジケーターにクエリを送信しています。さらに懸念されるのは、政府および銀行分野の顧客の60%以上も同様にクエリを送信しているという点です。」
InfobloxのリサーチャーであるNick SundvallとDavid Brunsdonは、企業環境にレジデンシャルプロキシが存在すると、組織のIPスペースへの外部アクセスが付与されると警告しています。
「脅威アクターがレジデンシャルプロキシを悪用してサードパーティを攻撃した場合、そのサードパーティのインシデントレスポンスは正しくあなたのレジデンシャルプロキシを攻撃源として特定するでしょう」と彼らは記しています。「あなたが脅威アクターではなく中継点であったことを証明してその状況を解きほぐすことには、時間がかかり、法的リスクをもたらし、評判を損なう可能性があります。顧客環境内でのこれらサービスの驚くべき普及は、レジデンシャルプロキシがもたらすリスクがセキュリティポスチャにどのような影響を与えうるかを検討すべき、ネットワーク防御者と政策立案者の双方が注目すべき問題です。」
翻訳元: https://krebsonsecurity.com/2026/06/popa-botnet-linked-to-publicly-traded-israeli-firm/
