Googleは、マルウェアのコマンド&コントロール(C2)運用やパスワードスプレー攻撃に広く悪用されていた大規模インフラ「NetNut」レジデンシャルプロキシボットネットを解体しました。
今回の連携対応にはFBI、Lumen、複数の業界パートナーが参加しており、Googleの脅威インテリジェンスグループ(GTIG)が2026年7月3日に発表しました。
この措置は、悪意あるレジデンシャルプロキシのエコシステムを解体する一連の取り組みの一環であり、2026年1月に実施されたIPIDEAネットワークの摘発に続くものです。
GoogleがNetNutレジデンシャルプロキシボットネットを解体
今回の対応の一環として、Googleは利用規約(Acceptable Use Policy)違反を理由に、NetNutの運営者がマルウェアのC2インフラを管理するために使用していたアカウントおよびサービスを無効化しました。
また同社は、検知や対策の強化に向けて、NetNutのSDKやバックエンドインフラに関連する詳細な技術情報や侵害指標(IOC)を、法執行機関やセキュリティベンダーと共有しました。
さらに、Google Play Protectもアップデートされ、NetNut関連のコンポーネントを組み込んだAndroidアプリを自動的に検出・ブロックできるようになりました。これにより、さらなる感染の拡大を防ぎ、侵害されたアプリからユーザーを保護します。
GTIGは、今回の解体措置によってNetNutの運用能力は大幅に低下し、侵害されたレジデンシャルデバイスのプール数が数百万台単位で減少したと評価しています。
「Popa」としても知られるこのボットネットは、全世界で少なくとも200万台のデバイスに感染していたと推定されています。NetNutのビジネスモデルには再販業者やホワイトラベル提携の仕組みが含まれており、複数のプロキシサービスが同インフラ上で稼働できるようになっていました。

Googleによれば、複数の人気レジデンシャルプロキシプロバイダーがNetNutのボットネットへのアクセスを再販している可能性が高く、これがサイバー犯罪者やグレーマーケットのサービスの間でその利用範囲をさらに広げているとのことです。
NetNutのようなレジデンシャルプロキシネットワークは、脅威アクターが正規のISP割り当てIPアドレス経由で悪意あるトラフィックを迂回させることを可能にし、発信元を効果的に隠蔽して従来の検知手法を回避します。
こうしたネットワークは、出口ノードとして機能する侵害済みの一般消費者向けデバイスに依存しており、多くの場合、IoTデバイスにあらかじめ仕込まれたマルウェアや、隠されたプロキシSDKを含むアプリケーションを通じて感染します。
2026年6月だけでも、Googleは、NetNutの出口ノードと疑われるインフラを利用した316件の異なる脅威クラスターを追跡しました。この中には、金銭目的のサイバー犯罪グループや、匿名化されたアクセス・横方向移動・大規模なパスワードスプレー攻撃のためにこのインフラを利用する国家関与型のスパイ活動アクターが含まれていました。
一般消費者向けデバイスにプロキシマルウェアが存在することは、追加のリスクをもたらします。家庭内ネットワークを経由して不正なトラフィックが流れることで、内部システムが外部からの脅威にさらされ、影響を受けたユーザーに評判の毀損やサービス停止といった事態を招く可能性があります。
セキュリティ研究者たちは、サイバー攻撃におけるレジデンシャルプロキシの悪用が拡大している点をこれまでも一貫して指摘してきました。複数のセキュリティ企業の報告によると、侵害されたデバイスは攻撃を助長するだけでなく、攻撃の匿名化も可能にしているといいます。
さらに、こうしたデバイスは家庭内ネットワーク内での横方向移動を可能にする場合もあります。これにより攻撃者にとっての攻撃対象領域が拡大し、防御側による攻撃者の特定作業が一層困難になります。
Googleは、こうした脅威に対抗するうえで消費者の意識向上が極めて重要であると強調しています。ユーザーに対しては、「帯域幅の共有」に対価を提供するとうたうアプリの利用を避けること、アプリの権限を確認すること、そして認証済みのプラットフォームやPlay Protectなどの標準搭載の保護機能を活用してデバイスの健全性を確保することを推奨しています。
また同社は、ネットワーク接続機器を購入する際にも注意を払い、販売元の信頼性や認証状況を確認するよう呼びかけています。
今回の解体措置による影響にもかかわらず、GTIGはレジデンシャルプロキシのエコシステムが依然として極めて適応力が高く、相互に結びついていると警告しています。運営者は摘発による損失を補うために、競合するボットネットから容量をリースすることが多く、分散型インフラによって事業の継続性を維持しています。
Googleは、プロキシプロバイダー間の関係性の把握を今後も継続し、業界関係者との連携を通じて共有インフラを標的とし、悪意あるプロキシネットワークの長期的な解体を目指していく方針を示しました。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/google-disrupts-netnut-residential-proxy-botnet/