Googleは、FBI、Lumen、その他業界パートナーと連携し、レジデンシャルプロキシネットワーク「NetNut」(別名「Popa」)の解体に向けた対応を実施しました。
今回の対応は、Googleが2026年1月に実施したIPIDEAプロキシネットワークの摘発を踏まえたもので、悪用されているレジデンシャルプロキシインフラを大規模に解体するという同社の継続的な取り組みの一環です。
今回の摘発の一環として、Googleは、NetNutがマルウェアのコマンド&コントロール(C2)に使用していたGoogleアカウントおよび関連サービスを無効化しました。Googleはこれを、自社の利用規約および許容利用ポリシーへの明確な違反であるとしています。
また同社は、業界全体での対策強化を促すため、NetNutのSDKおよびバックエンドC2インフラに関する技術情報を、プラットフォーム提供各社、法執行機関、調査会社と共有しました。
さらにGoogleは、Play Protectを有効化し、NetNutのSDKが組み込まれたアプリについてユーザーへ自動的に警告を表示するとともに、当該アプリを無効化することで、今後の新規インストールに対しても継続的な保護を確保しています。
Google Threat Intelligence Group(GTIG)によると、今回の一連の対応によりNetNutの活動は大きく弱体化し、運営者が利用可能なデバイスプールは数百万台規模で減少したとみられています。
特筆すべき点として、NetNutはホワイトラベル化を可能にするリセラープログラムを運営しており、GTIGは、複数の人気レジデンシャルプロキシブランドが実質的にNetNutのインフラを再パッケージ化したものであると高い確度で結論付けています。
IPIDEA摘発後にも見られたように、個々のネットワークは競合の能力を吸収してリセラー自体になることで、強い回復力を示す傾向があります。Googleは、持続的な摘発効果を得るには、相互に結びついた複数のプロバイダーを同時に標的とする必要があるとしており、NetNutおよびその類似ネットワークが今後どのように適応していくかを引き続き監視する方針です。
GTIGの推計によると、NetNutのボットネットは世界中で少なくとも200万台のデバイスに及んでいます。KrebsOnSecurityによる報道は、Googleの調査結果によっても裏付けられており、それによればNetNutはスマートTVやストリーミングデバイスといった一般的な家庭用機器にSDKを組み込んで配布することで、ネットワークを拡大しているとされています。
GTIGはまた、NetNutのプラグインコンポーネントを、Badbox 2.0を含む大規模なボットネットとも関連付けています。レジデンシャルプロキシネットワークは、攻撃者が正規のISP所有IPアドレス経由でトラフィックを迂回させることを可能にし、信頼されている家庭用インフラの背後に悪意ある活動を隠蔽します。
デバイスがこうしたネットワークに組み込まれる経路は、事前にインストールされたマルウェア経由、あるいは一見正規に見えるアプリに隠されたプロキシコード経由のいずれかです。これにより、デバイス所有者は深刻なリスクにさらされます。自宅のIPアドレスがハッキング活動に悪用される可能性があるだけでなく、その結果として正規のトラフィックがISPによってフラグを立てられたり、遮断されたりする恐れもあるためです。
2026年6月のある一週間だけでも、GTIGは、被害者へのアクセス、インフラの管理、パスワードスプレー攻撃の際に発信元IPを隠すためNetNutの出口ノードとみられるものを利用した、サイバー犯罪者やスパイ活動アクターを含む316件の異なる脅威クラスターを追跡していました。
出口ノードのトラフィックは家庭内ネットワーク全体を経由するため、侵害されたデバイスは同一ネットワーク内の他の個人所有デバイスを横方向の脅威にさらす可能性もあります。SynthientやSpur、Nokia Deepfieldによる調査でも、Miraiの亜種によるDDoSボットネットの拡散にNetNutが関与している実態が別途明らかにされています。
Googleは、「未使用の帯域幅」や「インターネット回線の共有」に対して報酬を約束するアプリの利用を避けるよう、ユーザーに呼びかけています。こうしたアプリは、プロキシネットワークへの勧誘によく使われる手口だからです。
ユーザーは公式アプリストアのみを利用し、VPNやプロキシアプリに許可する権限を十分に確認したうえで、Google Play Protectを常に有効にしておくべきです。
セットトップボックスなどの接続機器を購入する際、消費者はGoogleのAndroid TVパートナーリストを確認するか、同社が案内するデバイス確認手順に従うことで、その機器がPlay Protect認証を取得済みであるかどうかを確認しておくべきです。
Googleは、今回の摘発を長期にわたるキャンペーンの一段階に過ぎないと位置づけており、レジデンシャルプロキシ業界の急速な成長と、ボットネットインフラが持つ深い相互連結性を指摘しています。
同社は、モバイルプラットフォーム各社やISP、その他のテクノロジー事業者に対し、情報共有を強化し、悪意あるC2インフラに直接対処する取り組みを進めることで、このエコシステムの長期的な拡大に歯止めをかけるよう呼びかけています。
翻訳元: https://cyberpress.org/google-disrupts-netnut-residential-proxy-network/