NetNutが陥落、GoogleとFBIが200万台規模のボットネットに照準

セキュリティ

他の住宅用プロキシブランドも同じネットワークに依存している可能性

サイバー犯罪者が自らの活動を隠すために使うツールを妨害する継続的な取り組みの一環として、米法執行機関と連携するテクノロジー企業各社がNetNut住宅用プロキシネットワークを「大幅に弱体化させた」と、研究者らが明らかにしました。

この作業はGoogle、Lumen、Shadowserver、FBIなどが共同で実施したもので、1月に行われたIPIDEAプロキシネットワークの妨害に続くものです。

Google Cloudによると、今回の作戦に携わった関係者は、NetNutが最も普及していた住宅用プロキシネットワークプロバイダーの一つであり、そのボットネットには少なくとも200万台のデバイスが登録されていたとみています。その大半は小型のTVストリーミング機器だったといいます。犯罪者は住宅用プロキシネットワークを利用し、自らのトラフィックがあたかも正当な家庭やビジネスから発信されているかのように見せかけることがよくあります。

他の住宅用プロキシネットワークが登録デバイスのプールを拡大するのと同様の手法で、NetNutも自社のSDKをこれらのデバイスを通じて配布していました。

プロキシプロバイダーは多くの場合、余っている帯域を収益化できるという名目でユーザーに接触し、自社のSDKをデバイス上で動作させる見返りとして報酬を支払います。

公式な見解としては、当然ながらこの種の勧誘は一切断るべきだとされています。サイバー犯罪のエコシステムを助長するだけでなく、家庭内ネットワークの他の部分に脆弱性をもたらす可能性もあるためです。

NetNutは独自の住宅用プロキシネットワークに加え、モバイルおよびデータセンター向けプロキシ、さらに多数のスクレイパーやデータセットも提供していました。 

しかし同社はリセラープログラムも展開しており、専門家は他の多くの住宅用プロキシネットワークがNetNut自身のネットワークによって動いているとみています。つまり今回の妨害は、さらに下流への波及効果を持つ可能性があるということです。

「今回の妨害が住宅用プロキシのエコシステム全体により大きな波及効果をもたらすと見込んでいますが、IPIDEA妨害後の観察結果からは、個々のネットワークが耐性を示す場合があることも判明しています」と、GoogleのThreat Intelligence Group(GTIG)は述べています。 

「私たちが観察してきたのは、自らのボットネットが弱体化に直面すると、プロキシ事業者は競合他社から容量を買い始め、事実上リセラーへと転じるという動きです。

「この流動的なエコシステムにおいて持続的な妨害効果を生み出すには、相互に結びついた複数のプロバイダーのインフラを標的とするよう、取り組みの規模を拡大する必要があると認識しています。今後もNetNutネットワークの構成を継続的に観察し、同業他社が今回の対応策にどう適応していくかを注視していきます」

住宅用プロキシネットワーク自体は違法ではありませんが、サイバー犯罪に悪用されるケースが少なくありません。

これらのネットワークは表向き、オンライン上のプライバシーを守る手段として、また追跡されるリスクなしに表現の自由といった理念を推進する手段として宣伝されています。

しかし、こうしたネットワークが持つプライバシー保護機能は、サイバー犯罪者が自らの悪意ある活動を覆い隠すためにも利用されています。

彼らは無害な住宅用ネットワークに接続された一般のデバイスを大規模に登録し、それらを出口ノードとして顧客に提供します。

サイバー犯罪者はこうしたネットワークを利用して自らのトラフィックをこれらのノード経由で流すことで、自分たちが管理していないIPアドレスから発信されているように見せかけることができます。

「2026年6月のある1週間だけで、GTIGはサイバー犯罪グループやスパイ活動グループを含む316の異なる脅威クラスターが、NetNutの出口ノードと疑われるものを使用していることを確認しました」とGoogleは述べています。 

「これらの攻撃者はNetNutを利用することで、被害者環境へのアクセス時、自らのインフラへのアクセス時、そしてパスワードスプレー攻撃の実行時に、発信元IPアドレスを隠すことができます」

各種報告によれば、NetNutは他のボットネットファミリーにも関与しているとみられています。GTIGはBadbox 2.0のような大規模ボットネット向けのプラグインコンポーネントを発見したとしており、その他の公開報告でも、NetNutがMirai亜種への感染に利用されている兆候が指摘されています。

The RegisterはGTIGに対し、netnut.comが「本ウェブサイトは押収されました」というスプラッシュページを表示している一方で、なぜNetNutの第二のドメイン(netnut.io)が稼働し続けているのかを問い合わせましたが、即座の回答は得られませんでした。

Googleの発表は、住宅用プロキシネットワーク市場が今後も拡大を続ける中で、同様のテイクダウンが将来的にも行われる可能性を示唆しています。

ただし同社は、こうした場当たり的な妨害策の効果は一時的なものにとどまるとも指摘しており、長期的な対策にはISP、モバイルプラットフォーム、その他のテクノロジー企業からの支援が不可欠だとしています。®


翻訳元: https://www.theregister.com/security/2026/07/03/netnut-cracked-as-google-and-fbi-target-2-million-device-botnet/5266414

ソース: theregister.com