背景
本日、GoogleはFBI、Lumenなどと連携し、NetNut(別名Popa)住宅用プロキシネットワークに対する措置を実施しました。今回の措置は、2026年1月に実施したIPIDEAプロキシネットワークへの妨害措置の延長線上にあるもので、悪質な住宅用プロキシネットワークの解体を目指すGoogleの取り組みを継続するものです。
実施した措置
今回の妨害措置の一環として、Googleは以下の措置を実施しました。
-
NetNutがマルウェアのコマンド&コントロール(C2)に使用していたGoogleアカウントおよび関連するGoogleサービスを無効化しました。これはGoogleの利用規約および許容利用ポリシーに直接違反する行為です。
-
NetNutのソフトウェア開発キット(SDK)およびバックエンドC2インフラに関する技術的インテリジェンスを、プラットフォーム提供事業者、法執行機関、調査会社と共有し、エコシステム全体での認識向上と対応強化を後押ししました。
-
Androidに標準搭載されているセキュリティ保護機能であるGoogle Play Protectが、NetNutのSDKを組み込んでいることが判明したアプリケーションについて、自動的にユーザーへ警告し、当該アプリを無効化するようにしました。今後も同システムは、将来のインストール試行からユーザーを保護し続けます。こうしたデジタルエコシステム全体の安全性向上に向けた取り組みは、認定デバイス上のAndroidユーザーを保護する既存の対策を補完するものです。
Googleは、今回の一連の連携措置により、NetNutのプロキシネットワークとその事業運営に大きな打撃を与えたと考えています。プロキシ運営者が利用可能なデバイスのプールを数百万台単位で減少させました。NetNutはNetNutブランドでネットワークへのアクセスを販売するだけでなく、自社ネットワークのホワイトラベル化を可能にする強固なリセラープログラムも展開しています。Googleは、人気の高い住宅用プロキシブランドの多くが、実際にはNetNutのボットネットをホワイトラベル化したものである可能性が高いとみています。今回の妨害措置は住宅用プロキシのエコシステム全体により大きな波及効果をもたらすと見込んでいますが、IPIDEAへの妨害措置後の観測結果からは、個々のネットワークが見かけ上の回復力を示す場合があることも判明しています。実際に確認されたのは、自らのボットネットが弱体化に直面すると、プロキシ運営者は競合他社から容量を購入し始め、事実上リセラーへと転じるという動きです。この流動的なエコシステムにおいて持続的な妨害効果を生み出すには、相互に連携する複数のプロバイダーのインフラを標的とする取り組みを拡大していく必要があると認識しています。Googleは今後もNetNutネットワークの構成を観察し、その同業ネットワークが今回の措置にどのように適応していくかを注視していきます。
この問題が重要な理由
NetNutは、住宅用プロキシネットワークの中でも最大級かつ最も広く利用されているものの一つです。住宅用プロキシネットワークの規模を推定することは極めて困難ですが、Google Threat Intelligence Group(GTIG)は、NetNutネットワークの規模を世界中に分散する少なくとも200万台のデバイスと推定しています。KrebsOnSecurityをはじめとする各所の公開報道は、Googleの確認によっても裏付けられており、NetNutがスマートTVやストリーミングデバイスといった家庭で一般的に使われる機器向けにSDKを配布することでボットネットを拡大していることを示しています。GTIGはまた、Badbox 2.0のような大規模ボットネット向けのNetNutボットネットプラグインコンポーネントも確認しています。
住宅用プロキシネットワークは、インターネットサービスプロバイダー(ISP)が所有するIPアドレスを経由してトラフィックをルーティングする機能を販売しており、攻撃者はこれらのIPアドレスを乗っ取ることで悪意ある活動を隠蔽できます。強固な住宅用プロキシネットワークを構築するには、顧客に販売するため数百万件の住宅用IPアドレスを管理下に置く必要があります。これを実現するため、運営者は家庭内デバイスにコードを実行させ、出口ノードとして悪質なネットワークに組み込みます。家庭内デバイスがプロキシネットワークの一部となる経緯は、購入前にあらかじめマルウェアがインストールされているケース、またはユーザーが気づかぬうちにプロキシ用コードを隠し持つアプリケーションをダウンロードしてしまうケースのいずれかです。これは、事情を知らないデバイス所有者にとって深刻なリスクとなります。自宅のIPアドレスが攻撃者によってハッキングやその他の不正行為の踏み台として利用されかねないためです。その結果、正当なユーザーのトラフィックが不審なものとしてフラグを立てられたり、サービスプロバイダーによってブロックされたりする事態も起こり得ます。
2026年6月のある一週間だけでも、GTIGはNetNutの出口ノードと疑われるものを利用する316件の異なる脅威クラスターを観測しており、その中にはサイバー犯罪グループやスパイ活動を行うグループも含まれていました。こうした攻撃者は、被害者の環境へのアクセス、自らのインフラへのアクセス、パスワードスプレー攻撃の実行に際して、NetNutを使い発信元IPアドレスを隠蔽することができます。さらに、一般消費者のデバイスが出口ノードになると、そこを不正なネットワークトラフィックが通過することになります。つまり攻撃者は、同じ家庭内ネットワーク上にある他のプライベートデバイスにもアクセスできてしまい、それらを実質的にインターネット上の脅威にさらすことになります。Synthient、Spur、Nokia Deepfieldなどによる公開レポートでも、NetNutがMirai系DDoSボットネットの亜種にデバイスを感染させるために利用されていることが記録されています。
消費者の保護と啓発に向けて
消費者は、「未使用の帯域幅」や「インターネット回線の共有」と引き換えに報酬を提供するアプリケーションについて、十分に警戒する必要があります。こうしたアプリケーションは、悪質なプロキシネットワークが拡大する主要な手段であり、デバイスが接続する家庭内ネットワークにセキュリティ上の脆弱性をもたらすおそれがあります。Googleはユーザーに対し、公式アプリストアのみを利用すること、サードパーティ製VPNやプロキシの権限を確認すること、そしてGoogle Play Protectのような標準搭載のセキュリティ保護機能を有効にしておくことを強く推奨します。
消費者は、セットトップボックスなどの接続機器を購入する際、信頼できるメーカーの製品であることを確認するよう注意する必要があります。例えば、あるデバイスが公式のAndroid TV OSを搭載し、Play Protect認定を受けているかどうかを確認する際には、Android TVのウェブサイトで最新のパートナー一覧を参照できます。また、お使いのAndroidデバイスがPlay Protect認定を受けているかどうかを確認するにはこちらの手順をご利用いただけます。
今後の取り組み
Googleが今年初めに指摘したとおり、住宅用プロキシ業界は急速に拡大しているとみられ、今回の連携による妨害措置をもって悪質な住宅用プロキシネットワークとの戦いが終わるわけではありません。この業界は密接に結びついており、運営者は絶えず転売される重複したボットネットに依存しています。特定時点における妨害措置はユーザーを保護するうえで重要な手段ではあるものの、長期的に悪質なプロキシネットワークを減少させていくには、継続的かつ連携した取り組みが必要です。Googleは、モバイルプラットフォーム、ISP、その他のテック企業各社に対し、引き続きインテリジェンスを共有し、悪質なC2インフラを直接ブロックする措置を講じるよう呼びかけます。