あなたが読んでいるこの記事は、より緊急性の高いインターネット全体に向けたセキュリティ勧告の中に埋め込まれた、一連のスクープである。問題となっている脆弱性はすでに数カ月にわたって悪用されており、脅威についてより広い認知が必要な時期に来ている。要点だけ言えば、あなたのインターネットルーターの内側にある内部ネットワークの安全性について、これまで常識だと思っていたことは、おそらく今や危険なほど時代遅れになっている。
セキュリティ企業Synthientは現在、世界中に分布する200万台超のKimwolf感染デバイスを確認しているが、特にベトナム、ブラジル、インド、サウジアラビア、ロシア、米国に集中している。Synthientは、Kimwolf感染の3分の2が、セキュリティや認証機構が組み込まれていないAndroid TVボックスであることを突き止めた。
ここ数カ月で、Kimwolfと呼ばれる新たなボットネットが爆発的に拡大しており、専門家によれば世界で200万台以上のデバイスに感染しているという。Kimwolfマルウェアは侵害されたシステムに、広告詐欺、アカウント乗っ取りの試行、大量のコンテンツスクレイピングといった悪意ある・迷惑なインターネット通信を中継させ、さらに、ほぼあらゆるWebサイトを数日単位で停止に追い込めるほどの破壊力を持つ分散型サービス妨害(DDoS)攻撃にも参加させる。
しかし、Kimwolfの途方もない規模以上に重要なのは、これほど急速に拡散するために用いられている悪魔的な手法だ。さまざまな「レジデンシャルプロキシ」ネットワークを実質的に逆方向へトンネリングしてプロキシ終端のローカルネットワークへ侵入し、さらに、ユーザーのファイアウォールやインターネットルーターによって守られているはずの背後に隠れたデバイスまで感染させていくのである。
レジデンシャルプロキシネットワークは、顧客が自分のWebトラフィックを匿名化し、特定地域のものに見せかける手段として販売されている。最大手のサービスでは、世界中のほぼあらゆる国や都市にあるデバイスを経由してトラフィックをルーティングできる。
エンドユーザーのインターネット接続をプロキシノードに変えるマルウェアは、怪しいモバイルアプリやゲームに同梱されていることが多い。こうしたレジデンシャルプロキシプログラムは、非公式のAndroid TVボックス を通じてインストールされることも一般的で、これらはAmazon、BestBuy、Newegg、Walmartといった人気ECサイトでサードパーティ販売者により売られている。
これらのTVボックスは40〜400ドルと価格帯も幅広く、目が回るほど多様な無名ブランドと型番で販売され、特定の種類のサブスクリプション動画コンテンツを無料で視聴できる手段として宣伝されることが多い。しかし、この取引には隠れたコストがある。後ほど見るように、これらのTVボックスは、現在Kimwolfに感染していると推定される200万台のシステムの相当部分を占めている。
レジデンシャルプロキシマルウェアがプリインストールされた状態で出荷される、非公認のAndroid TVボックスの一部。画像:Synthient。
Kimwolfは、主要ECサイトに数多く出回っているインターネット接続型のデジタルフォトフレームにも感染させるのが非常にうまい。2025年11月、Quokkaの研究者は、Uhaleアプリを実行するAndroidベースのデジタルフォトフレームにおける深刻なセキュリティ問題を詳述した報告書(PDF)を公開した。これには、2025年3月時点でAmazonのベストセラーだったデジタルフレームも含まれている。
これらのフォトフレームと非公式Android TVボックスには、大きなセキュリティ問題が2つある。1つ目は、相当数の製品がマルウェアをプリインストールした状態で出荷されるか、あるいは、謳い文句どおりの用途(動画コンテンツの海賊版視聴)で使うために、非公式のAndroidアプリストアとマルウェアをダウンロードするようユーザーに要求する点だ。こうした招かれざる客の典型は、デバイスをレジデンシャルプロキシノードに変え、それが他者に再販売される小さなプログラムである。
2つ目の大きな悪夢は、これらのフォトフレームと非公認Android TVボックスが、明確なセキュリティ要件や認証要件を備えていない、少数のインターネット接続型マイクロコンピュータボードに依存していることだ。言い換えれば、あなたがこれらのデバイスの1台以上と同じネットワーク上にいるなら、ネットワーク越しに単一のコマンドを発行するだけで同時に侵害できてしまう可能性が高い。
127.0.0.1に勝る場所はない
この2つのセキュリティ上の現実が表面化したのは2025年10月で、ロチェスター工科大学の学部生(コンピュータサイエンス専攻)がKimwolfの成長を綿密に追跡し始め、見たところの作成者たちと日々直接やり取りするようになった。
Benjamin Brundageは22歳で、プロキシネットワークを検知し、それらがどのように悪用されているかを企業が把握するのを支援するスタートアップ、セキュリティ企業Synthientの創業者だ。期末試験の勉強をしながらKimwolfの研究の多くを進めていたBrundageは、2025年10月下旬にKrebsOnSecurityに対し、KimwolfはAndroidベースのAisuruの新たな亜種ではないかと疑っていると語った。Aisuruは、昨秋に起きた複数の記録的DDoS攻撃の原因として誤って非難されたボットネットである。
Brundageによれば、Kimwolfは世界最大級のレジデンシャルプロキシサービスの多くに存在する、目立つ脆弱性を悪用して急速に拡大した。弱点の核心は、これらのプロキシサービスが、顧客が個々のプロキシ終端の内部サーバーへリクエストを転送することを防ぐための対策が不十分だった点にあるという。
多くのプロキシサービスは、RFC-1918で規定されたローカルアドレスへのリクエストを明示的に拒否することで、課金顧客がプロキシ終端のローカルネットワークへ「上流に遡る」ことを防ぐ基本的な対策を講じている。これには、よく知られたネットワークアドレス変換(NAT)の範囲である10.0.0.0/8、192.168.0.0/16、172.16.0.0/12が含まれる。これらの範囲により、プライベートネットワーク内の複数デバイスが単一のグローバルIPアドレスでインターネットにアクセスできる。家庭やオフィスで何らかのネットワークを運用しているなら、あなたの内部アドレス空間はこれらNAT範囲のいずれか(または複数)で動作している。
しかしBrundageは、Kimwolfを運用する者たちが、ドメインネームシステム(DNS)の設定をRFC-1918のアドレス範囲に一致させるだけで、数百万のレジデンシャルプロキシ終端の内部ネットワーク上にあるデバイスと直接通信する方法を突き止めていたことを発見した。
「192.168.0.1や0.0.0.0を指すDNSレコードを使うことで、既存のドメイン制限を回避することが可能です」とBrundageは、2025年12月中旬に約12社のレジデンシャルプロキシ提供事業者へ送付した、前例のないセキュリティ勧告の中で書いている。「これにより攻撃者は、現在のデバイス、またはローカルネットワーク上のデバイスに対して、慎重に作り込んだリクエストを送信できるようになります。これは現在進行形で悪用されており、攻撃者はこの機能を利用してマルウェアを投下しています。」
前述のデジタルフォトフレームと同様、これらのレジデンシャルプロキシサービスの多くは、何らかのゲーム、VPN、その他のアプリを実行しているモバイルデバイス上でのみ動作しており、そのアプリにはユーザーの携帯電話をレジデンシャルプロキシに変える隠しコンポーネントが含まれていることがある。しかも多くの場合、実質的な同意は得られていない。
本日公開された報告書でSynthientは、Kimwolfに関与する主要アクターが、アプリのインストールによる収益化、レジデンシャルプロキシ帯域の販売、DDoS機能の販売を通じてボットネットを収益化している様子が観測されたと述べた。
「Synthientは、脅威アクターの間で、デバイス感染、ネットワークアクセスの獲得、機微情報へのアクセスを目的として、プロキシネットワークへの無制限アクセスを得ようとする関心が高まっていくと予想しています」と報告書は指摘する。「Kimwolfは、保護されていないプロキシネットワークがもたらすリスクと、攻撃ベクターとしての実用性を浮き彫りにしています。」
ANDROID DEBUG BRIDGE
Kimwolfボットネットで特に多く見られた非公式Android TVボックスのモデルを複数購入した後、Brundageは、プロキシサービスの脆弱性がKimwolf急拡大の理由の一部にすぎないことも突き止めた。彼がテストしたほぼすべてのデバイスが、工場出荷時点でAndroid Debug Bridge(ADB)モードという強力な機能がデフォルトで有効になっていたのだ。
Kimwolfに感染した非公式Android TVボックスの多くには、不穏な注意書き「Made in China. Overseas use only.(中国製。海外使用のみ)」が含まれている。画像:Synthient。
ADBは、本来は製造およびテスト工程でのみ使用される診断ツールで、デバイスを遠隔で設定したり、新しい(そして潜在的に悪意ある)ファームウェアで更新したりできる。しかし、ADBをオンにしたまま出荷すると、認証なしの接続要求を常時待ち受けて受け入れる状態になるため、セキュリティ上の悪夢を生む。
たとえば、コマンドプロンプトを開き、脆弱なデバイスの(ローカル)IPアドレスに続けて「:5555」を付けて「adb connect」と入力すると、ほどなく無制限の「スーパーユーザー」管理者権限が得られてしまう。
Brundageによれば、12月上旬までに、彼は新たなKimwolf感染と、中国拠点のIPIDEAが貸し出しているプロキシIPアドレスとの間に、1対1の重なりを特定した。IPIDEAは、あらゆる見方からして現在世界最大のレジデンシャルプロキシネットワークである。
「Kimwolfはこの1週間で、IPIDEAのプロキシプールを悪用しただけで、ほぼ倍の規模になりました」とBrundageは、IPIDEAおよび他の10社のプロキシ提供事業者に研究内容を通知する準備をしていた12月上旬、KrebsOnSecurityに語った。
Brundageによれば、Synthientが最初に確認したのは2025年12月1日で、Kimwolfボットネット運用者がIPIDEAのプロキシネットワークを逆方向にトンネリングし、IPIDEAのプロキシソフトウェアを動かしているシステムのローカルネットワークへ侵入していた。攻撃者は、感染システムに特定のインターネットアドレスへアクセスさせ、悪性ダウンロードを解錠するために合言葉「krebsfiveheadindustries」を呼び出させることで、マルウェアのペイロードを投下していた。
12月30日、Synthientは、直近1週間でKimwolfに悪用されたIPIDEAのアドレスを約200万追跡していると述べた。Brundageは、制御サーバーを狙った最近のテイクダウンの試みの後、Kimwolfがほぼゼロから200万の感染システムへと、IPIDEA上のプロキシ終端を数日トンネリングするだけで再構築されるのを目撃したという。
Brundageによれば、IPIDEAには新規プロキシの供給が尽きる気配がなく、直近1週間だけでも世界中で1億超のレジデンシャルプロキシ終端へのアクセスを宣伝している。IPIDEAのプロキシプールに含まれる露出デバイスを分析したところ、Synthientは3分の2超が、認証なしで侵害可能なAndroidデバイスであることを見いだしたという。
セキュリティ通知と対応
Kimwolf感染IPアドレスとIPIDEAが販売するIPアドレスの強い重なりを図示した後、Brundageは調査結果を公表したいと強く望んだ。脆弱性は明らかに数カ月にわたり悪用されていたが、この能力を認識しているサイバー犯罪者はごく一部に見えた。しかし同時に、脆弱なプロキシ提供事業者に理解と修正の機会を与えずに公表すれば、さらに多くのサイバー犯罪グループによる大規模な悪用を招くだけだとも分かっていた。
12月17日、Brundageは影響を受けていると思われる11社すべてのプロキシ提供事業者にセキュリティ通知を送り、公表前に少なくとも数週間、報告書で特定した中核的問題を認識し対処する時間を各社に与えようとした。通知を受け取ったプロキシ提供事業者の多くは、IPIDEAのサービスをホワイトラベルで再販するリセラーだった。
KrebsOnSecurityが最初にIPIDEAへコメントを求めたのは2025年10月で、プロキシネットワークがAisuruボットネットの台頭から利益を得たように見える、という記事を報じた際だった。Aisuruの管理者は、ボットネットを主にDDoS攻撃に使うのをやめ、代わりにIPIDEAのプロキシプログラムなどをインストールする方向へ移ったように見えた。
12月25日、KrebsOnSecurityは「Oliver」とだけ名乗るIPIDEA社員からメールを受け取り、IPIDEAがAisuruの台頭から利益を得たという主張は根拠がないと述べた。
「IPの追跡可能性記録およびサプライヤー協力契約を包括的に検証した結果、当社のいかなるIPリソースもAisuruボットネットとの関連は見つからず、また当社IPが悪意ある活動に関与しているという権威ある機関からの通知も受け取っていません」とOliverは書いた。「さらに、対外協力においては、サプライヤーに対する3段階の審査メカニズム(資格確認、リソースの合法性認証、継続的な動的監視)を実施し、協力プロセス全体を通じてコンプライアンスリスクがないことを確保しています。」
「IPIDEAは、業界におけるあらゆる形態の不公正競争および悪意ある中傷に断固反対し、常に適法な運営と誠実な協力によって市場競争に参加しています。また業界全体に対し、不規則かつ非倫理的な行為を共同で放棄し、クリーンで公正な市場エコシステムを構築するよう呼びかけます」とOliverは続けた。
一方、Oliverのメールが届いた同日、Brundageは、IPIDEAのセキュリティ担当者から受け取ったばかりの返信を共有した。担当者はByronという名のファーストネームのみを名乗った。セキュリティ担当者は、Brundageの報告書で特定された脆弱性に対処するため、IPIDEAがレジデンシャルプロキシサービスに複数の重要なセキュリティ変更を加えたと述べた。
「設計上、プロキシサービスは内部またはローカルのアドレス空間へのアクセスを許可していません」とByronは説明した。「この問題は、テストおよびデバッグ目的のみに使用されるレガシーモジュールに起因することが判明しました。このモジュールは内部ネットワークアクセス制限を完全には継承していませんでした。特定の条件下では、このモジュールが悪用され内部リソースへ到達できる可能性がありました。影響を受ける経路は現在すべて完全に遮断され、当該モジュールはオフライン化しました。」
ByronはBrundageに対し、IPIDEAは内部(NAT)IP範囲へのDNS解決をブロックするための複数の緩和策も導入し、さらに「スキャン、ラテラルムーブメント、内部サービスへのアクセスのためのサービス悪用を防ぐ」ために、「高リスク」ポートへのトラフィック転送をプロキシ終端が行えないようブロックしていると述べた。
Brundageの脆弱性通知に対する返信として、IPIDEAのセキュリティ担当者が送ったメールの抜粋。クリックで拡大。
Brundageは、IPIDEAは彼が特定した脆弱性の修正に成功したようだと述べた。また、KimwolfのアクターがIPIDEA以外のプロキシサービスを狙っているのを見たことがないとも指摘した。IPIDEAはコメント要請に応じていない。
Riley Kilmerは、企業がプロキシトラフィックを特定しフィルタリングするのを支援する技術企業Spur.usの創業者だ。Kilmerによれば、SpurはBrundageの発見を検証し、IPIDEAおよびその関連リセラーすべてが、ローカルLANへの完全かつ無制限のアクセスを実際に許していたことを確認した。
Kilmerは、特に人気の高い非公認Android TVボックスの1モデルであるSuperbox(11月の記事「あなたのAndroid TVストリーミングボックスはボットネットの一部か?」で取り上げた)が、Android Debug Modeをlocalhost:5555で動かしたままにしていると述べた。
「そしてSuperboxはIPをIPIDEAプロキシに変えるので、悪意ある者はそのプロキシを使ってそのポートのlocalhostにアクセスし、好きな悪質SDK(ソフトウェア開発キット)を何でもインストールできてしまうのです」とKilmerはKrebsOnSecurityに語った。
Walmart.comで販売されているSuperboxのメディアストリーミングボックス。
過去からの残響
BrundageとKilmerの両者は、IPIDEAはかつて911S5 Proxyとして知られていたレジデンシャルプロキシネットワークの、2度目または3度目の転生のように見えると言う。911S5 Proxyは2014年から2022年にかけて運営され、サイバー犯罪フォーラムで非常に人気が高かった。KrebsOnSecurityが、中国における同サービスの怪しい起源と指導層について詳細調査を公開してから1週間後、911S5 Proxyは崩壊した。
その2022年のプロフィール記事では、カナダのシャーブルック大学の研究者が、911S5が企業内部ネットワークにもたらし得る脅威を研究していた成果を引用した。研究者は「ノードへの感染により、911S5ユーザーはローカルのイントラネットポータルやその他のサービスなど、ネットワーク上の共有リソースにアクセスできるようになる」と指摘していた。
「また、感染したノードのLANネットワークをエンドユーザーが探索(プローブ)することも可能になります」と研究者は説明している。「内部ルーターを用いれば、感染ノードのLANルーターのDNSキャッシュを汚染し、さらなる攻撃を可能にすることができます。」
911S5は2022年の報道当初、サービスのトップダウンのセキュリティレビューを実施していると主張して反応した。しかしその1週間後、悪意あるハッカーが同社の顧客および決済記録をすべて破壊したとして、プロキシサービスは突然閉鎖した。2024年7月、米国財務省は911S5の作成者とされる人物らを制裁対象に指定し、米国司法省は、私の2022年プロフィール記事で名指しした中国籍の人物を逮捕した。
Kilmerによれば、IPIDEAは922 Proxyという姉妹サービスも運営しており、同社は初日から911S5 Proxyのシームレスな代替として売り込んできたという。
「あれをそう呼んで、911の顧客が欲しいわけじゃないなんて言わせませんよ」とKilmerは言う。
Synthientの通知の受領者には、プロキシ大手Oxylabsも含まれていた。Brundageは、12月31日にOxylabsのセキュリティチームから受け取ったメールを共有し、Synthientの報告書で説明された脆弱性に対処するためのセキュリティ変更をOxylabsが展開し始めたことを認めていた。
コメントを求めたところ、Oxylabsは「ブロックリストを回避し、制御されたドメインを使ってプライベートネットワークアドレスへリクエストを転送する能力を、現在は排除する変更を実装した」と確認した。しかし、Kimwolfや他の攻撃者が同社ネットワークを悪用した証拠はないとも述べた。
「並行して、報告された悪用活動で特定されたドメインを確認しましたが、それらに関連するトラフィックは観測されませんでした」とOxylabsの声明は続ける。「この確認に基づき、当社のレジデンシャルネットワークがこれらの活動の影響を受けた兆候はありません。」
実務上の意味合い
次のシナリオを考えてみよう。単に誰かにあなたのWi-Fiネットワークの利用を許すという行為だけで、Kimwolfボットネット感染につながり得る。例として、友人や家族が数日滞在し、あなたはその携帯電話がデバイスをレジデンシャルプロキシノードに変えるアプリに感染していることを知らないままWi-Fiアクセスを許可する。その時点で、あなたの自宅のグローバルIPアドレスは、どこかのレジデンシャルプロキシ提供事業者のWebサイトで貸し出し対象として表示されるようになる。
するとKimwolfの背後にいるような悪党は、オンラインのレジデンシャルプロキシサービスを使ってあなたのIP上のそのプロキシノードにアクセスし、それを逆方向にトンネリングしてローカルエリアネットワーク(LAN)へ侵入し、Android Debug Bridgeモードがオンになっているデバイスを内部ネットワーク上で自動スキャンする。
ゲストが荷物をまとめ、別れを告げ、あなたのWi-Fiから切断する頃には、あなたのローカルネットワーク上には、デジタルフォトフレームと非公認Android TVボックスという2台のデバイスがKimwolfに感染している、という事態になり得る。これらのデバイスをより大きなインターネットに露出させるつもりなど一度もなかったとしても、現実はそうなってしまう。
もう1つの悪夢のようなシナリオもある。攻撃者がプロキシネットワークへのアクセスを使ってあなたのインターネットルーター設定を改変し、攻撃者が制御する悪意あるDNSサーバーに依存させることで、ブラウザがWebサイトを要求したときにどこへ行くかを支配するのだ。荒唐無稽だと思うだろうか? 2012年のDNSChangerマルウェアを思い出してほしい。50万台超のルーターに検索ハイジャック型マルウェアを感染させ、最終的には、それを封じ込め根絶することに焦点を当てたセキュリティ業界のワーキンググループ全体を生み出した。
XLAB
これまでに公開されているKimwolfに関する情報の多くは、中国のセキュリティ企業XLabによるもので、同社は2024年末にAisuruボットネットの台頭を最初に記録した。最新のブログ投稿でXLabは、10月24日にKimwolfの追跡を開始したと述べている。この日、ボットネットの制御サーバーが、特徴的なドメイン14emeliaterracewestroxburyma02132[.]suのルックアップでCloudflareのDNSサーバーを圧倒していた。
このドメインおよび初期のKimwolf亜種に関連する他のドメインは、数週間にわたりCloudflareの「インターネットで最も求められているドメイン」ランキングの上位を占め、Google.comやApple.comを本来のトップ5の座から押しのけた。これは、その期間にKimwolfが数百万のボットに対し、CloudflareのDNSサーバーを使って頻繁にチェックインするよう求めていたためだ。
中国のセキュリティ企業XLabは、Kimwolfボットネットが180万〜200万台のデバイスを奴隷化しており、特にブラジル、インド、アメリカ合衆国、アルゼンチンに集中していることを突き止めた。画像:blog.xLab.qianxin.com
XLabの報告書を読むと明らかだが、KrebsOnSecurity(およびセキュリティ専門家)は、Kimwolfの初期活動の一部をAisuruボットネットのものだと誤って帰属させていた可能性が高い。Aisuruはまったく別のグループが運用しているように見える。IPDEAがAisuruボットネットとの関係はないと言ったのは真実だったのかもしれないが、Brundageのデータは、同社のプロキシサービスがAisuruのAndroid亜種であるKimwolfによって大規模に悪用されていたことを疑いなく示していた。
XLabは、Kimwolfが少なくとも180万台のデバイスに感染しており、ゼロからでも迅速に自己再構築できることを示したと述べた。
「分析によれば、Kimwolfの主要な感染対象は、家庭用ネットワーク環境に配置されたTVボックスです」とXLab研究者は書いている。「家庭用ネットワークは通常、動的IP割り当てメカニズムを採用しているため、デバイスのグローバルIPは時間とともに変化し、IP数だけで感染デバイスの真の規模を正確に測定することはできません。言い換えれば、累計で270万のIPアドレスを観測したとしても、それは270万台の感染デバイスと同義ではありません。」
XLabは、感染デバイスが世界の複数のタイムゾーンに分散しているため、Kimwolfの規模測定は難しいとも述べた。「タイムゾーンの違いと利用習慣(例:夜間にデバイスをオフにする、休暇中はTVボックスを使わない等)の影響により、これらのデバイスが同時にオンラインになることはなく、単一の時間窓で包括的に観測することをさらに難しくしています」とブログ投稿は指摘している。
XLabは、Kimwolfの作者が私に対してほとんど「強迫的」と言える執着を示しており、ボットネットのコードや通信の複数箇所に私の名前に関連する「イースターエッグ」を残しているようだ、と指摘した。
画像:XLAB。
分析と助言
Kimwolfのような脅威の厄介な点の1つは、多くの場合、一般ユーザーが自分の内部ネットワーク上にKimwolfのような脅威に対して脆弱なデバイスがあるか、あるいはすでにレジデンシャルプロキシマルウェアに感染しているかを判断するのが容易ではないことだ。
長年のセキュリティ訓練か何かの黒魔術によって、内部ネットワーク上のレジデンシャルプロキシ活動が自宅内の特定のモバイルデバイスに紐づいていることを特定できたとしても、そこからさらに、そのデバイスをレジデンシャルプロキシに変えているアプリや不要コンポーネントを隔離して削除しなければならない。
また、こうした可視性を得るために必要なツールや知識は、平均的な消費者の観点では存在しないに等しい。入出力する全トラフィックのログを見て解釈できるようネットワークを設定する作業は、ほとんどのインターネット利用者(そして、おそらく多くのセキュリティ専門家)にとってもスキルの範囲を超えているだろう。しかし、これは今後の記事で掘り下げる価値のあるテーマだ。
幸いなことに、Synthientは自社サイトにページを設け、訪問者のグローバルIPアドレスがKimwolf感染システムのものとして観測されたかどうかを表示する。Brundageはまた、Kimwolfボットネットで特に多く見られる非公式Android TVボックスの一覧もまとめている。
これらのモデル名や型番のいずれかに一致するTVボックスを所有しているなら、ネットワークから引き抜いてほしい。家族や友人のネットワークでこれらのデバイスを見つけたら、この記事へのリンクを送り、接続したままにしておくことで生じ得る面倒や被害に見合わないことを説明してほしい。
Synthientによれば、Kimwolfボットネットで確認された上位15の製品デバイス。
Chad SeamanはAkamai Technologiesの主任セキュリティ研究者だ。Seamanは、消費者がこうした疑似Android TVボックスを完全に避けるほど警戒心を持ってほしいと言う。
「消費者には、こういう粗悪デバイスやレジデンシャルプロキシの仕組みに対して、疑心暗鬼になってほしい」と彼は言った。「なぜそれが皆にとって、そして個人にとって危険なのかを強調する必要があります。人々が『LAN(ローカル内部ネットワーク)は安全で、LAN内に悪い奴はいないからそんなに危険ではない』と思っているセキュリティモデルは、もう本当に時代遅れです。」
「アプリが私のネットワークや他人のネットワークでこうした悪用を可能にし得るという事実は、ローカルネットワークにどのデバイスを入れるかについて、立ち止まって考えさせるべきです」とSeamanは言う。「そしてここで問題なのはAndroidデバイスだけではありません。これらのプロキシサービスの中には、MacやWindows、iPhone向けのSDKもあります。意図せずネットワークに穴を開け、無数の見知らぬ人を中に入れてしまう何かが動いている可能性があるのです。」
2025年7月、Googleは、合計で「BadBox 2.0 Enterprise」と呼ばれる25人の身元不明の被告に対し、「John Doe」 訴訟(PDF)を提起した。Googleはこれを、広告詐欺に関与する1,000万台超の非公認Androidストリーミングデバイスからなるボットネットだと説明した。Googleによれば、BADBOX 2.0ボットネットは、購入前に複数種類のデバイスを侵害するだけでなく、非公式マーケットプレイスからバックドアを含む悪意あるアプリのダウンロードを要求することでデバイスに感染させることもできる。
Googleの訴訟は、連邦捜査局(FBI)による2025年6月の勧告 の直後に提起された。FBIは、サイバー犯罪者が、ユーザー購入前に製品へマルウェアを設定しておくか、セットアップ中にバックドアを含む必須アプリケーションをダウンロードさせることでデバイスを感染させ、家庭内ネットワークへ不正アクセスしていると警告した。
FBIによれば、BADBOX 2.0は、元のBADBOXキャンペーンが2024年に妨害された後に発見された。元のBADBOXは2023年に特定され、主に購入前にバックドアマルウェアで侵害されたAndroid OSデバイスで構成されていた。
Lindsay Kayeは、BADBOX調査に密接に関与した企業であるHUMAN Securityの脅威インテリジェンス担当副社長だ。Kayeによれば、BADBOXボットネットと、侵害デバイスの上で動くレジデンシャルプロキシネットワークは、途方もない量の広告詐欺に加え、チケット転売、リテール詐欺、アカウント乗っ取り、コンテンツスクレイピングを可能にしていたため検知された。
Kayeは、配線または無線接続を必要とする製品を購入する際には、消費者は既知のブランドにこだわるべきだと言う。
「プロキシによる被害を避けるために何ができるかと聞かれるなら、名の知れたブランドにするのが最も安全です」とKayeは言う。「無料や低価格を謳うもの、タダ同然で何かを与えるようなものは、まったく割に合いません。そして、スマホに入れるアプリには注意してください。」
最近の無線ルーターの多くは、その場で「ゲスト」用の無線ネットワークを比較的簡単に展開できる。そうすればゲストは問題なくインターネット閲覧ができる一方で、そのデバイスがローカルネットワーク上の他のデバイス(共有フォルダ、プリンター、ドライブなど)と通信できないようブロックされる。友人、家族、業者など誰かがネットワークアクセスを求めてきたら、その選択肢がある場合はゲストWi-Fiの認証情報を渡そう。
小規模ながら声の大きい海賊版擁護派の一団は、これら非公認Android TVボックスがもたらすセキュリティ脅威を、ほとんど見下したように切り捨てる傾向がある。こうした技術純粋主義者は、これらのTVボックスを丸ごと廃棄するという考えに強い抵抗を示す。この陣営のよくある言い分は、インターネット接続デバイスは本質的に善でも悪でもなく、工場出荷時に感染しているボックスであっても、既知の怪しいソフトウェアを含まない新しいファームウェアやカスタムROMを書き込める、というものだ。
しかし重要なのは、これらのデバイスを買う大多数の人々はセキュリティやハードウェアの専門家ではないという点だ。デバイスが求められるのは、「無料」で価値あるものをぶら下げているからである。怪しいTVボックスをネットワークに挿すことで、どんな取引をしているのかを理解している購入者はほとんどいない。
エンタメ業界が、動画海賊版のために作られ販売されていることが多い、この安全性が低く、しかも積極的に悪意あるハードウェアを大手ECベンダーが売り続けるのを止めるよう、より目に見える圧力をまだかけていないのは、やや驚くべきことだ。これらのTVボックスは、悪意あるソフトウェアを同梱しながら、明確なセキュリティや認証を備えていないという点で公共の迷惑であり、この2つの性質がサイバー犯罪者にとって魅力的な厄介物件にしている。
このシリーズのパートIIでは、Kimwolfを構築し、そこから最大の利益を得たように見える人々が残した手がかりを掘り下げていくので、続報を待ってほしい。
翻訳元: https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/
