「Kimwolf」と名付けられた大規模な新ボットネットが世界で200万台以上のデバイスに感染し、無関係なユーザーの家庭用インターネット回線をサイバー犯罪者のための秘密のプロキシノードへと変貌させています。
セキュリティ企業Synthientによる新たな報告書によれば、このボットネットは、セキュリティが不十分なAndroid TVボックスと、主要なレジデンシャルプロキシネットワークに存在する重大な脆弱性を悪用して爆発的に拡大しました。
Kimwolfの感染は広範に分布しており、特にベトナム、ブラジル、インド、ロシア、サウジアラビア、米国に集中しています。
セキュリティ研究者は、感染デバイスのおよそ3分の2が、基本的なセキュリティや認証対策を欠いた、AmazonやWalmartなどの主要ECプラットフォームで販売されることの多いノーブランドのAndroid TV ボックスであると特定しました。
攻撃の仕組み
直接ダウンロードによって拡散する従来型のマルウェアとは異なり、Kimwolfは高度なトンネリング手法を用います。
2025年11月、Quokkaの研究者は、2025年3月時点でAmazonのベストセラーとなっていたデジタルフレームを含む、Uhaleアプリを実行するAndroidベースのデジタルフォトフレームにおける深刻なセキュリティ問題を詳述した報告書(PDF)を公開しました。
Synthientの創業者であるベンジャミン・ブランデージは、ボットネット運用者がレジデンシャルプロキシサービスの欠陥を悪用し、中国拠点のプロバイダーIPIDEAを明確に標的としていたことを突き止めました。
この脆弱性により、攻撃者はプロキシネットワークを「上流へ」たどることが可能でした。ドメインネームシステム(DNS)の設定をローカルネットワークアドレス(例:192.168.0.1)に一致させるよう操作することで、攻撃者は保護を回避し、プロキシ利用者の内部ネットワーク上のデバイスと直接通信できました。
家庭内ネットワークに侵入すると、マルウェアは「Android Debug Bridge」(ADB)が有効なまま出荷されたデバイスを探索します。ADBは診断用ツールであり、一般消費者向け製品では無効化すべきものです。
「要するに、インターネットルーターの背後にある内部ネットワークのセキュリティについて、あなたが知っていると思っていたことは、おそらく今や危険なほど時代遅れだ」と、報告書 は警告しています。
このマルウェアは、モバイルアプリやゲームに同梱されていることが多く、サブスクリプションコンテンツへの無料アクセスをうたう「脱獄」済みストリーミング端末にプリインストールされている場合もあります。
ユーザーがこれらのアプリをインストールしたり、侵害されたTVボックスを接続したりすると、そのデバイスは「レジデンシャルプロキシ」になります。
犯罪者は、所在地や通信を隠すためにこれらのプロキシを借り受けます。しかし、Kimwolfはさらに一歩進んでいます。
感染デバイスは、Webサイトを停止に追い込める分散型サービス拒否(DDoS)攻撃への参加を強制されるほか、広告詐欺、コンテンツスクレイピング、アカウント乗っ取りにも悪用されます。
Synthientからの通知を受け、IPIDEAやOxylabsなどの主要プロキシプロバイダーは、ローカルネットワークへのアクセスを可能にしていた特定の脆弱性を修正したと主張しています。
IPIDEAのセキュリティ責任者は、この欠陥は旧来のテストモジュールに起因しており、すでに削除したと述べました。
専門家は、安価な無名電子機器に注意するよう消費者に助言しています。「消費者には、こうした粗悪なデバイスを疑ってかかってほしい」と、Akamai Technologiesの主任セキュリティ研究者であるチャド・シーマンは述べています。
自衛のため、ユーザーには次の対応が推奨されています:
- 無料の海賊版コンテンツをうたう「全部入り」のAndroid TVボックスを避ける。
- 家庭内LAN上の他デバイスにアクセスできないよう、IoTデバイスを「ゲスト」Wi-Fiネットワーク に分離する。
- Synthientが新たに公開した侵害デバイスモデルの一覧を確認し、ネットワーク上で見つかった場合は直ちに排除する。
Kimwolfボットネットがテイクダウンの試みにもかかわらず再構築を続ける中、この事件は、安価で相互接続されたデバイスの時代における家庭内ネットワークセキュリティの脆弱さを浮き彫りにしています。
翻訳元: https://gbhackers.com/kimwolf-botnet/
