FBI、プロキシプラットフォーム「NetNut」とボットネット「Popa」を差し押さえ

米連邦捜査局(FBI)は本日、業界パートナーと協力し、イスラエルの上場企業Alarum Technologies[NASDAQ: ALAR]が運営する大規模な住宅用プロキシサービスNetNutに関連する数百のドメインを差し押さえたと発表しました。今回の措置は、複数のセキュリティ企業による調査結果をもとに、NetNutが少なくとも200万台のデバイスで構成されるボットネット「Popa」と関連していることをKrebsOnSecurityが報じてから約2週間後のことです。Popaは、被害者の同意をほとんど、あるいは全く得ずに悪意あるソフトウェアによって侵害された機器の集合体です。

Image

NetNutのホームページは本日、FBIによるこの差し押さえバナーに置き換えられました。

6月19日、3つの異なるセキュリティ企業が同様の調査結果を発表していました。それによれば、NetNutは「Popa」と呼ばれるボットネットを構成する住宅用プロキシネットワークであり、スマートTVやストリーミングボックスなど家庭でよく見られる機器向けにソフトウェアを配布しています。NetNutのソフトウェアはこれらの機器を常時稼働の住宅用プロキシノードに変え、他者に貸し出します。借り手の多くは、大規模なコンテンツスクレイピングや広告詐欺、アカウント乗っ取りといった不正かつ侵入的なインターネットトラフィックの中継にこれを利用しています。

本日、NetNutのホームページはFBIと米国内国歳入庁犯罪捜査部(IRS Criminal Investigation)による差し押さえ通知に置き換えられました。この通知では、Popaボットネットに関連する数百のドメインの解体に協力したGoogleLumenShadowserverをはじめとする業界パートナーへの謝意が示されています。専門家によれば、このボットネットは長らくNetNutの住宅用プロキシインフラと同一視されてきました。

本日公開されたブログ記事の中で、Google Threat Intelligence Group(GTIG)は、NetNutのプロキシネットワークが多数のサードパーティ製プロキシプロバイダーによって広く再販・ホワイトレーベル化されており、悪意あるトラフィックの発信元を隠蔽したいサイバー犯罪者から強い需要を集めていると述べています。GTIGによると、2026年6月のある1週間だけで、サイバー犯罪グループやスパイ活動グループを含む316種類の異なる脅威アクタークラスターが、NetNutの出口ノードとみられるものを利用しているのが確認されたといいます。

「こうした攻撃者は、被害者環境へのアクセスや自身のインフラへのアクセス、パスワードスプレー攻撃の実行時に、NetNutを使って発信元IPアドレスを隠すことができます」とGoogleのGTIGは述べています。「さらに、一般消費者向けのデバイスが出口ノードになると、そこを不正なネットワークトラフィックが通過することになります。つまり攻撃者は同じ家庭内ネットワーク上にある他のプライベート機器にもアクセスできるようになり、結果としてそれらの機器をインターネット上の脅威にさらしてしまうのです」。

Googleは、マルウェアの指令サーバー(C2)としてNetNutが利用していたGoogleアカウントおよびサービスを無効化し、NetNutのソフトウェア開発キット(SDK)やバックエンドインフラに関する技術情報を、プラットフォーム提供事業者や法執行機関、調査会社と共有したと説明しています。同社はまた、NetNutの各種SDKを組み込んでいることが判明したアプリも無効化しました。

NetNutの親会社であるAlarum Technologiesは、本日の摘発に関するコメント要請に応じていません。先月、当メディアが同社とPopaボットネットとの関連性を示す記事を公開する以前、Alarumは自社のNetNutを「ボットネット」と表現することに異議を唱えており、自社ブランドを傷つける可能性のある報道を行う者に対しては訴訟も辞さないとしていました。

プロキシ追跡サービスSynthientの創業者であるBenjamin Brundage氏は、先月証拠を公表し、PopaボットネットとNetNut、そしてAlarum Technologiesとの関連性を指摘した企業の一つです。Brundage氏によれば、今回のドメイン差し押さえは、Popaボットネットとその上に成り立つNetNutのプロキシネットワークの双方に打撃を与えたとみられるといいます。

Brundage氏は、NetNutの事実上の崩壊はサイバー犯罪コミュニティにとって大きな痛手になるだろうと述べています。同コミュニティは今年に入り、Googleによる法的措置によって、NetNutの最大の競合であるIPIDEAのインフラがすでに差し押さえられ、打撃を受けていました。

「今回の摘発は非常に大きな影響を及ぼすと考えています。というのも、NetNutはIPIDEAの摘発以降、著しく人気を伸ばしていたからです」と同氏は述べています。「さらにNetNutは再販業者の間で極めて広く使われており、1日あたりのトラフィック量、品質、規模、1ギガバイトあたりの価格など、あらゆる面でIPIDEAと肩を並べる存在でした」。

Image

NetNutのインフラ構造を簡潔に示した図。画像提供:Black Lotus Labs、Lumen。

Brundage氏によれば、NetNutとPopaボットネットの摘発には、もう一つ副次的な効果が期待できるといいます。それは、設定の甘い住宅用プロキシサービスを土台に構築されてきた大規模な分散型サービス拒否(DDoS)ボットネットへの打撃です。1月、Synthientは明らかにしたところによると、サイバー犯罪者たちはIPIDEAのプロキシ接続を経由してTVボックス所有者のローカルネットワークにトンネリングし、被害者のファイアウォールの内側にある他のAndroidベースの機器にも感染を広げることで、世界最大級のDDoSボットネット「Kimwolf」を構築していました。

大手プロキシプロバイダーの多くはこうした活動を遮断する対策を講じてきた一方、主要プロキシネットワークの再販業者による対応は大きく遅れていた、とBrundage氏は指摘します。

「こうしたTVボックス機器の多くがプロキシネットワークを通じて侵害されていたことを踏まえると、今回の措置は世に出回っているDDoSボットネットにも影響を及ぼすでしょう」と同氏は述べています。

Google側は、本日の措置によって「NetNutのプロキシネットワークとその事業運営に著しい機能低下をもたらし、プロキシ運営者が利用可能なデバイスのプールを数百万台規模で縮小させた」とみています。ただし同社は、IPIDEAがここ数か月で行ってきたように、プロキシネットワークが他のプロキシサービスを実質的に再販することで自らを再構築しうる点にも警鐘を鳴らしています。

GTIGの報告書は次のように結論づけています。「Googleは、人気のある住宅用プロキシブランドの多くが実際にはNetNutのボットネットをホワイトレーベル化したものであると高い確信を持っています。今回の摘発は住宅用プロキシのエコシステム全体に波及効果をもたらすと見込んでいますが、IPIDEA摘発後の観測結果からは、個々のネットワークが強靭性を保つ場合があることも判明しています。私たちが確認したのは、自らのボットネットが機能低下に直面すると、プロキシ運営者は競合他社から容量を買い付け始め、事実上その再販業者に転じるという動きです。この流動的なエコシステムに持続的な打撃を与えるには、相互に結びついた複数のプロバイダーのインフラを標的に、対策の規模を拡大していく必要があると認識しています」。

KrebsOnSecurityがこれまで繰り返し警告してきたとおり、大手ECサイトで販売されている無名メーカー製のTVストリーミングボックスの多くは、住宅用プロキシソフトウェアがあらかじめインストールされているか、あるいは本来の用途(海賊版の映画・スポーツ中継・TV番組のストリーミング視聴)で機器を使うためにプロキシSDKのインストールを要求してきます。Googleの助言は理にかなっています。TVボックスを選ぶ際は信頼できるメーカーの有名ブランド品にとどめ、インストールするアプリは慎重かつ最小限にとどめるべきだということです。

Popaボットネットをはじめとする各種脅威に乗っ取られている怪しげなTVボックスは、いずれもGoogleの公式Play Protectストアの管理下にない非公式のAndroid OSがプリインストールされているか、ユーザー自身によるインストールを必要とするものです。Googleによれば、あるデバイスが公式のAndroid TV OSおよびPlay Protect認証を受けて構築されたものかどうかは、こちらの手順で確認できるとしています。

TVストリーミングボックスを持っていない人でも、Samsung製やLG製のスマートTV向けに提供されている数千種類のアプリのいずれかをインストールするだけで、自分のスマートTVが住宅用プロキシネットワークに組み込まれてしまうことがあります。プロキシ追跡企業Spurが先月発表したレポートによると、LG製スマートTVのwebOS上でダウンロード可能なアプリのうち42パーセントに、自分のテレビを常時稼働の住宅用プロキシノードへと変えてしまうSDKが組み込まれていることが判明しました。またSamsungのTizenOS向けアプリでも、4分の1以上に同様の住宅用プロキシコンポーネントが含まれていたことがSpurの調査でわかっています。

Image

画像提供:Spur.us。

翻訳元: https://krebsonsecurity.com/2026/07/fbi-seizes-netnut-proxy-platform-popa-botnet/

ソース: krebsonsecurity.com