一見すると、BestBuyやWalmartといった小売店で販売されているSuperboxのメディアストリーミング端末は、掘り出し物に見えるかもしれません。Netflix、ESPN、Huluなど、2,200以上のペイパービューおよびストリーミングサービスに無制限でアクセスでき、費用は約400ドルの一括払いだけだというのです。しかしセキュリティ専門家は、これらのTVボックスには侵入的なソフトウェアが必要で、ユーザーのネットワークを他者のためのインターネット通信の中継に強制的に使わせると警告しています。その通信は、広告詐欺やアカウント乗っ取りといったサイバー犯罪活動に結び付いていることが少なくありません。
Walmart.comで販売されているSuperboxのメディアストリーミングボックス。
Superboxは、月額のサブスクリプション料金という煩わしさなしに、家庭が望み得るあらゆるテレビ番組や映画コンテンツをストリーミングできる手頃な方法だとして、自らを売り込んでいます。支払いは約400ドルの一度きりです。
「分かりにくいケーブル料金の請求や隠れた手数料にうんざりしていませんか?」と、Superboxのウェブサイトは最近のブログ記事「低所得者向けの安いケーブルTV:月額料金なしでTVを見る」で問いかけています。
ブログは続けます。「低所得者向けの本当に安いケーブルTVの解決策は存在します。このガイドでは、無料の地上波オプションから、月額料金をなくす一括購入デバイスまで、払い過ぎを止めるための最良の代替案を解説します。」
Superboxは、映画、テレビ番組、スポーツイベントのストリームを視聴しても、米国の著作権法には違反しないと主張しています。
「SuperBoxは市場にある他のAndroid TVボックスと同じで、顧客がどのソフトウェアを使うかを当社がコントロールすることはできません」と同社サイトは述べています。「また、大人数に向けてコンテンツをアップロード、ダウンロード、または放送しない限り、法的問題に遭遇することはありません。」
Superboxのウェブサイトに掲載されたブログ記事。
Superboxそのものの販売や使用は違法ではありません。ユーザーがすでに有料契約している提供元でコンテンツをストリーミングする手段として、厳密に利用することもできます。しかし、人々がこれらの機械に400ドルを支払う理由はそれではありません。Superboxで2,200以上のチャンネルを無料で視聴する唯一の方法は、そのコンテンツをストリーミングできるようにする、端末向けに作られた複数のアプリをインストールすることです。
Superboxのホームページには、同社は「ペイウォールを回避したり、無許可コンテンツへのアクセスを提供したりするアプリへのアクセスを販売したり、事前インストールしたりはしない」という目立つメッセージが掲載されています。同社は、提供しているのはハードウェアのみで、どのアプリをインストールするかは顧客が選ぶのだと説明しています。
「当社はハードウェア端末のみを販売しています」とその注意書きにはあります。「お客様は公式アプリおよびライセンスされたサービスを使用しなければなりません。無許可の使用は著作権法に違反する可能性があります。」
Superboxは技術的にはここで正しいのですが、顧客が公式アプリとライセンスされたサービスを使わなければならない、という部分は別かもしれません。Superboxで何千ものチャンネルをストリーミングできるようにする前に、ユーザーは端末が自己更新できるよう設定する必要があり、その最初のステップはGoogle公式のPlayストアを引き剥がして、「App Store」または「Blue TV Store」と呼ばれるものに置き換えることなのです。
Superboxがこうするのは、この端末がGoogle認証済みの公式Android TVシステムを使用しておらず、そうしないとアプリが読み込まれないためです。Google Playストアがこの非公式App Storeに置き換えられて初めて、Superbox専用に作られた各種の映画・動画ストリーミングアプリがダウンロード可能として表示されます(繰り返しますが、Googleのアプリ・エコシステムの外側で)。
専門家によれば、これらのAndroidストリーミングボックスは概ね宣伝どおりに機能し、通常は有料サブスクリプションが必要な動画コンテンツを購入者がストリーミングできるようにします。しかし、そのストリーミングを可能にするアプリは、端末を使って他者の通信を中継する分散型のレジデンシャル・プロキシネットワークに、ユーザーのインターネット接続を巻き込んでしまうといいます。
Ashleyは、インターネットに接続されたデバイス、サービス、ホストをインデックス化するサイバーインテリジェンス企業Censysのシニア・ソリューションズ・エンジニアです。Ashleyは、この話ではファーストネームのみの使用を求めました。
最近の動画インタビューで、AshleyはCensysがマルウェアラボで調査していた複数のSuperboxモデルを披露しました。その中にはBestBuyで店頭購入したものも含まれていました。
「きっと多くの人が『大手量販店で売ってるなら、どれほど悪いっていうの?』と思っているはずです」と彼女は言いました。「でも調べれば調べるほど、どんどん奇妙になっていきました。」
Ashleyによると、Superbox端末は直ちに中国のインスタントメッセージサービスTencentのQQ上のサーバー、そしてGrass IOというレジデンシャル・プロキシサービスに接続していたといいます。
GET GRASSED
getgrass[.]ioとしても知られるGrassは、「AIラボや他社と未使用のインターネット帯域幅を共有することで、ユーザーが報酬を得られる分散型ネットワーク」だとしています。
Grassのウェブサイトはこう説明します。「購入者は、より多様なIPアドレスにアクセスするために未使用のインターネット帯域幅を求めており、それによって小売の視点から特定のウェブサイトを見ることができます。あなたの未使用のインターネット帯域幅を活用することで、彼らは市場調査を行ったり、AIを訓練するためのウェブスクレイピングのような作業を実行したりできます。」
Twitter/X経由で連絡を取ったところ、Grass創業者のAndrej RadonjicはKrebsOnSecurityに対し、Superboxのことは聞いたことがなく、Grassはそのデバイスメーカーと一切関係がないと述べました。
「これらのボックスは、誰かがGrassを悪用しようとして使っている非倫理的なプロキシネットワークを配布しているように見えます」とRadonjicは言いました。「Grassの要点はオプトインのネットワークであることです。未使用帯域を収益化するためにGrassアプリをダウンロードします。世の中には、人々の帯域幅を乗っ取ってウェブスクレイピング企業を助ける怪しいSDKが山ほどあります。」
Radonjicによれば、Grassは「ネットワーク乱用者を特定する堅牢なシステム」を実装しており、利用規約の悪用や回避を試みる者を発見した場合、停止させ、そのユーザーがポイントや報酬を得られないようにする措置を取るといいます。
Superboxの親会社であるSuper Media Technology Company Ltd.は、住所としてカリフォルニア州ファウンテンバレーのUPSストアを記載しています。同社は複数回の問い合わせに応じませんでした。
マルチレベルマーケティング(MLM)スキームを扱うブログであるbehindmlm.comによるこの分解記事によれば、Grassの報酬プランは「グラスポイント」を中心に構築されており、Grassアプリの使用および勧誘したアフィリエイトによるアプリ使用を通じて獲得されます。アフィリエイトはGrassアプリの利用時間が100時間に達すると5,000グラスポイントを獲得できますが、グラスポイントを(おそらく何らかの暗号資産と引き換えるために)換金する前に、10段階のアフィリエイト階層(ランク)を進む必要があります。第10段階、すなわち「Titan」階層では、アフィリエイトはなんと5,000万グラスポイントを蓄積するか、少なくとも221人の追加アフィリエイトを勧誘する必要があります。
Radonjicは、Grassのシステムはここ数か月で変更されており、ユーザーが自分の帯域幅を提供したり、他のユーザーを招待して参加させたりすることでGrass Uptime Pointsを獲得できる紹介プログラムがあることを認めました。
「ユーザーは、Grass Uptime Pointsを獲得したりGrass Tokensを受け取ったりするために、紹介プログラムに参加する必要はありません」とRadonjicは述べました。「Grassは紹介プログラムを段階的に廃止する過程にあり、更新されたGrass Pointsモデルを導入しました。」
Wayback Machineでgetgrass[.]ioの利用規約ページを確認すると、Grassの親会社は2年間の存続期間の中で少なくとも5回、社名を変更していることが分かります。Wayback Machineでgetgrass[.]ioを検索すると、2023年6月時点ではGrassはWynd Networkという会社が所有していました。2024年3月までに所有者はバハマのLower Tribeca Corp.として記載され、2024年8月までにGrassはHalf Space Labs Limitedが管理し、2024年11月にはGrass OpCo (BVI) Ltdが所有していました。現在、Grassのウェブサイトは親会社を単にGrass OpCo Ltd(社名にBVIなし)としています。
Radonjicは、Grassが「過去数年でいくつかの企業整理」を行ったことを認めつつも、それらは運用に影響のない事務的変更だと説明しました。「これらは、プロジェクトが初期開発段階から…Grass Foundationの下にある現在の構造へ移行する中での、通常のアーリーステージの再編を反映しています」と彼は述べました。
開封(UNBOXING)
CensysのAshleyは、彼女が調べたSuperbox端末において、中国のTencent QQインスタントメッセージサービスへの「ホーム通信」が最初の危険信号だったと述べました。さらに彼女は、ストリーミングボックスにTcpdumpやNetcatといった強力なネットワーク解析・リモートアクセスツールが含まれていることも発見しました。
「こいつは私のルーターのDNSをハイジャックし、ARPポイズニングを行って、ネットワークから機器が落ちるほどにして、そのIPを自分が引き受けようとし、制御の回避も試みました」と彼女は言いました。「私は今では全部でrootを取っていますが、実際に『secondstage』というフォルダまであります。これらのデバイスにはNetcatとTcpdumpも入っているのに、ストリーミング端末のはずなんです。」
オンラインで簡単に検索すると、さまざまなSuperboxモデルや、よく似たAndroidストリーミング端末が、Amazon、BestBuy、Newegg、Walmartなど、幅広い主要小売先で販売されていることが分かります。たとえばNewegg.comは現在、30種類以上のSuperboxモデルを掲載しています。いずれの場合も、商品はこれらのプラットフォーム上のサードパーティ販売者によって販売されていますが、多くのケースで配送(フルフィルメント)はEコマース・プラットフォーム自身が担っています。
「Neweggは今、こういうデバイスに関してかなりひどいです」とAshleyは言いました。「Ebayは一番笑える。スペイン語版のSuperbox――SuperCaja――があって、すごく人気なんです。」
Ashleyによれば、Amazonは最近SuperboxブランドのAndroidストリーミング端末の取り締まりを強化しましたが、それらの出品は、より一般的な「モデム&ルーター一体型」というタイトルの下で、今でも見つけられるとのことです(これは、端末の挙動の真実に少し近い表現かもしれません)。
Superboxは、従来の意味で製品を宣伝していません。むしろ、YouTubeやTikTokなどで知名度の低いインフルエンサーに依存して端末を宣伝しているようです。一方でAshleyによれば、Superboxはインフルエンサーに対し、販売した各端末の価値の50%を支払っているといいます。
「私には奇妙に思えます。インフルエンサーマーケティングは通常、報酬は15%で頭打ちですし、それは彼らが金を気にしていないということです」と彼女は言いました。「これはネットワークを構築するためなんです。」
TikTokのインフルエンサーが、ワインを片手にフォロワーと雑談しながら、さりげなくSuperboxに言及して宣伝している。
BADBOX
EコマースサイトでSuperboxがこれほど豊富に見つかるとはいえ、消費者向けに出回る無名のAndroidベースTVボックスの海の中では、これは一つのブランドにすぎません。これらのデバイスは一般に購入者に「無料」のストリーミングコンテンツを提供しますが、工場出荷時にマルウェアがインストールされていたり、ユーザーのインターネットアドレスを広告詐欺に利用するサードパーティ製アプリのインストールを要求したりする傾向があります。
2025年7月、Googleは「BadBox 2.0 Enterprise」と呼ばれる身元不明の被告25名に対し、「John Doe」訴訟(PDF)を提起しました。Googleはこれを、広告詐欺に関与した1,000万台超のAndroidストリーミング端末からなるボットネットだと説明しています。Googleによれば、BADBOX 2.0ボットネットは、購入前に複数種類のデバイスを侵害するだけでなく、非公式マーケットプレイスから悪意あるアプリをダウンロードさせることでデバイスに感染させることもできます。
Googleの訴訟で指摘されたAndroidストリーミング端末のいくつかは、米国の主要小売サイトで今も販売されています。たとえば「X88Pro 10」や「T95」のAndroidストリーミングボックスを検索すると、どちらもAmazonの販売者によって引き続き売られていることが分かります。
Googleの訴訟は、連邦捜査局(FBI)による2025年6月の注意喚起を受けたものでした。FBIは、サイバー犯罪者が、ユーザーが購入する前に悪意あるソフトウェアを製品に設定しておくか、セットアップ過程で必要アプリケーションをダウンロードさせる際に(通常バックドアを含む)端末へ感染させることで、家庭内ネットワークへ不正アクセスしていると警告しました。
「これらの侵害されたIoTデバイスが家庭内ネットワークに接続されると、感染したデバイスはBADBOX 2.0ボットネットの一部や、悪意ある活動に使用されることが知られているレジデンシャル・プロキシサービスの一部になる恐れがあります」とFBIは述べています。
FBIによれば、BADBOX 2.0は、元のBADBOXキャンペーンが2024年に妨害された後に発見されました。元のBADBOXは2023年に特定され、主に購入前にバックドア型マルウェアで侵害されたAndroid OSデバイスで構成されていました。
Riley Kilmerは、レジデンシャル・プロキシネットワークを追跡する企業Spurの創業者です。Kilmerによれば、Badbox 2.0は、現在世界最大のレジデンシャル・プロキシネットワークである中国拠点のIPideaの配布プラットフォームとして使われていました。
Kilmerらは、IPideaは911S5 Proxyの単なるリブランドにすぎないと述べています。911S5は中国拠点のプロキシ提供者で、金融機関、クレジットカード発行会社、連邦融資プログラムから犯罪者が数十億ドルを盗むのを助けたボットネットを運用したとして、昨年米国財務省により制裁を受けました(米国司法省も911S5の容疑者とされる所有者を逮捕しています)。
IPideaの顧客の大半は、プロキシサービスをどのように使っているのでしょうか。プロキシ検知サービスSynthientによれば、IPideaプロキシの上位10の宛先のうち6つは、広告詐欺またはクレデンシャルスタッフィング(アカウント乗っ取りの試行)のいずれかに関連付けられた通信を含んでいました。
Kilmerは、Grassのような企業が、顧客の一部が人工知能の取り組みを訓練するためにウェブスクレイピングを行う企業だと述べるのは、おそらく真実だろうと言います。というのも、最終的にAI企業の利益となる大量のコンテンツスクレイピングが、今ではこれらのプロキシネットワークを利用して、攻撃的なデータ吸い上げ活動をさらに見えにくくしているからです。望まれない通信をレジデンシャルIPアドレス経由でルーティングすることで、スクレイピング企業はフィルタリングをはるかに難しくできるとKilmerは述べました。
「ウェブのクロールやスクレイピングは昔からありましたが、AIがそれをコモディティ化しました。収集しなければならないデータになったんです」とKilmerはKrebsOnSecurityに語りました。 「誰もが自分のデータの鉱脈を収益化したがっていて、その収益化の仕方は千差万別です。」
いくつかの親切な助言
人気のネットワークテレビ番組やスポーツ中継がサブスクリプション型ストリーミングサービスへ移行するにつれ、また人々がストリーミングサービスに以前のケーブル/衛星TVと同額かそれ以上を支払っていることに気づき始めるにつれ、Superboxのような製品は消費者からの関心を高めています。
無名の技術ベンダーによるこれらのストリーミング端末は、「無料のものがあるなら、あなたが商品だ」という格言の別の例です。つまり企業は、ユーザーやそのデータへのアクセスや情報を販売することで儲けているのです。
Superboxの所有者は「無料? その端末に400ドル払ったんだけど!」と反論するかもしれません。しかし覚えておいてください。高い金を払ったからといって、それで支払いが終わったことにはなりませんし、その取引で損をする可能性があるのが自分だけだということにもなりません。
Superboxの顧客の多くは、自分のインターネット接続が広告詐欺やアカウント乗っ取りのための通信トンネルに使われても気にしないのかもしれません。彼らにとっては、毎月複数のストリーミングサービスに支払うよりましだからです。しかし私の推測では、これらの製品を買った(あるいは贈られた)かなりの人々は、インターネットルーターに接続する際に自分がどんな取引をしているのか、ほとんど理解していないのではないでしょうか。
Superboxは、自社製品が著作権法に違反しないと主張し、またこの問題に関する地域の法律を理解し遵守する責任は顧客だけにあるとするために、かなりの言語的曲芸をしています。しかし買い手注意です。米国在住であれば、これらのデバイスを無許可ストリーミングに使用することはデジタルミレニアム著作権法(DMCA)に違反し、法的措置、罰金、そしてインターネットサービスプロバイダによる警告やサービス停止の可能性を招き得ることを知っておくべきです。
FBIによれば、所有しているストリーミング端末が悪意あるものかもしれないことを示す兆候はいくつかあり、たとえば次のようなものがあります。
-アプリをダウンロードする不審なマーケットプレイスの存在。
-Google Play Protectの設定を無効にすることを要求する。
-ロック解除済み、または無料コンテンツにアクセス可能として宣伝される汎用TVストリーミング端末。
-聞いたことのないブランドとして宣伝されるIoTデバイス。
-Play Protect認証を受けていないAndroidデバイス。
-説明のつかない、または不審なインターネット通信。
Electronic Frontier Foundationによるこの解説は、上記に挙げた潜在的な症状それぞれについて、もう少し踏み込んで説明しています。
翻訳元: https://krebsonsecurity.com/2025/11/is-your-android-tv-streaming-box-part-of-a-botnet/
