FBIとGoogle、サイバー脅威アクターが悪用していたNetNutプロキシネットワークを摘発

大規模な国際共同作戦において、FBIとGoogleの脅威インテリジェンスグループは、世界最大級の商用レジデンシャルプロキシネットワークの一つであるNetNutを摘発しました。

セキュリティ研究者の間で「Popa」ボットネットとも呼ばれるこのネットワークは、世界中で200万台を超える一般消費者向けデバイスを不正に取り込み、サイバー犯罪者や国家支援型のスパイ活動グループのためのトラフィック中継拠点に仕立て上げていました。

Lumen Technologies、Shadowserver Foundation、米国内国歳入庁(IRS)刑事捜査部門などの業界パートナーと連携したこの共同作戦は、この巨大なプロキシサービスを支えるデジタルインフラを標的とし、数百のドメインを押収しました。

Banner shown when visiting netnut.com. Source: Infosecurity Magazine

Popaボットネットはいかにしてスマートテレビをプロキシ出口ノードに変えたのか

NetNutレジデンシャルプロキシサービスの中核をなしていたのが、巧妙に設計されたステルス通信レイヤーであるPopaボットネットです。安価なノーブランドのAndroidベーススマートテレビやストリーミングメディアボックス、そして「SmartTube」クライアントのような非公式アプリに欺瞞的なソフトウェア開発キット(SDK)を仕込むことで、NetNutは一般家庭の電子機器を乗っ取っていました。

消費者がこれらのデバイスを接続すると、彼らの家庭用インターネット回線は本人の知らぬ間にレジデンシャルプロキシの出口ノードとして「貸し出され」ていました。これにより悪意あるトラフィックは正規の家庭用IPアドレスを経由できるようになり、通常のデータセンターブロックやセキュリティフィルターを事実上回避することが可能になっていました。

2026年7月2日に公開されたGoogleのレポートによると、2026年6月のわずか1週間で、少なくとも316種類の脅威クラスターがNetNutの出口ノードを利用し、パスワードスプレー攻撃、クレデンシャルスタッフィング、広告詐欺、機密データのスクレイピングなどを行っていたことが判明しています。

覆面のハッキンググループが運営する典型的なアンダーグラウンドボットネットとは異なり、独立系サイバーセキュリティジャーナリストのBrian Krebs氏は報道の中で、NetNutがNASDAQに上場するイスラエルの公開企業Alarum Technologies Ltdと関係している可能性があると指摘しています。

この報道は、QuriumSynthientといったセキュリティ企業による調査結果を一部根拠としており、いずれの調査も、Alarumの経営陣と悪意あるPopaソフトウェア開発キット(SDK)の開発者との間に直接的なつながりがあることを突き止めています。

Alarumはこれまで、自社のソフトウェアを利用者の同意に基づく帯域幅共有ツールとして宣伝してきましたが、独立した技術調査によると、乗っ取られたホストアプリはユーザーに対して明確な通知や同意を求めるプロンプトを一切表示していなかったことが分かっています。

FBIによるNetNut関連ドメインの一部押収を受け、Alarum Technologiesは次のような声明を発表しています。「Alarumはこの件を重く受け止めており、自社インフラの悪用が徹底的に調査され、責任者が特定されるよう、法執行機関に全面的に協力していきます」

GoogleのレポートではAlarumとの関連性には触れられていませんが、Google脅威インテリジェンスグループ(GTIG)の研究者らは、NetNutが「自社ネットワークのホワイトラベル化を可能にする強力なリセラープログラム」を有していると指摘し、多くの人気レジデンシャルプロキシブランドが実際にはNetNutボットネットをホワイトラベル化したものである可能性が「高い」と評価しています。

同社はまた、SynthientやSpur、Nokia Deepfieldなどによる公開レポートにも言及しており、これらはNetNutがMirai系の分散型サービス妨害(DDoS)ボットネットの亜種をデバイスに感染させる目的で悪用されていたことを裏付けています。

GoogleとFBI、NetNutのインフラ解体に向け対策を展開

ネットワークが容易に再構築されるのを防ぐため、Googleは FBIの法的措置と並行して即座に技術的な対策を講じました。

同社は、NetNutがマルウェアの指令(C2)通信に利用していたすべてのGoogleアカウントを無効化したほか、Google Play Protectを更新してAndroidユーザーに自動的に警告を表示するようにし、侵害されたSDKを含むアプリを無効化しました。

Googleは「今回の一連の連携対応により、NetNutのプロキシネットワークとその事業運営には大きな打撃を与えられたと考えています。プロキシ運営者が利用可能なデバイスのプールは数百万台規模で縮小しました」と述べています。

同社はまた、今回の措置が2026年1月に実施されたIPIDEAプロキシネットワークの摘発を踏まえたものであるとしています。

ドメイン押収を巡る混乱

NetNut摘発の初期段階では、脅威インテリジェンスコミュニティ内で早速議論が巻き起こりました。FBIの押収バナーはNetNutの主要商用ドメインであるnetnut.comには表示されたものの、もう一つのドメインであるnetnut.ioは一時的に稼働・アクセス可能な状態のままだったと指摘する声が上がったためです。

一部のオンライン評論家は、法執行機関が誤ったドメインを標的にしたのではないかとの見方を示しました。

しかし他のセキュリティ専門家は、両ドメインは同一の作戦に関連するものであると説明しています。レジストラや司法管轄の違いにより主要な商用ドメインの押収により時間がかかることはあるものの、ボットネットのバックエンドにある指令サーバー(C2サーバー)の摘発には成功しており、ネットワーク全体の運用に深刻な打撃を与えたと指摘しています。

翻訳元: https://www.infosecurity-magazine.com/news/fbi-google-take-down-netnut-proxy/

ソース: infosecurity-magazine.com