GoogleとFBIがNetNutボットネットを解体 200万台のスマート機器がハイジャック被害

Googleの脅威情報グループ(Threat Intelligence Group)、FBI、および業界パートナーは、200万台以上のスマートテレビ、ストリーミング端末、Android端末を密かに乗っ取り、サイバー犯罪トラフィックを洗浄していた大規模な住宅用プロキシネットワーク「NetNut」を解体した。

「Popa」としても知られるこのボットネットは、トロイ化されたアプリケーションや「Badbox 2.0」などのマルウェアを通じて端末に感染。無名のAndroid TVボックスからデジタルフォトフレーム、車載インフォテインメントシステムに至るまで、あらゆる端末に感染を広げた。一度侵害されると、これらの端末は住宅用プロキシとして利用され、加入者は無実の住宅所有者のIPアドレスを通じて悪意あるトラフィックをルーティングできるようになった。

作戦の規模。 2026年6月の1週間だけで、GoogleはNetNutの出口ノードとみられる316の異なる脅威クラスターを観測した。これにはサイバー犯罪グループとスパイ活動グループの両方が含まれていた。顧客はこのネットワークを利用し、パスワードスプレー攻撃での発信元IPの隠蔽、被害者環境へのアクセス、侵害インフラの使用の隠蔽などを行っていた。

NetNutは、イスラエルの上場企業Alarum Technologiesと関連している。弁護士のOmer Weiss氏は、自社がFBIの押収を認識しており、捜査に協力していると述べた。

解体の仕組み。 GoogleはNetNutがマルウェアの指令制御に使用していたアカウントとサービスを無効化し、Google Play Protectを通じて感染アプリを無効化し、被害者に警告を発し、NetNutのソフトウェア開発キットに関する技術情報をプラットフォームプロバイダーおよび法執行機関と共有した。FBIはネットワークに関連する複数のドメイン名を押収した。

「我々の連携した行動により、NetNutのプロキシネットワークとその事業運営に重大な損害を与え、プロキシ運営者が利用可能な端末プールを数百万台規模で削減したと考えている」とGoogleは述べた。

この作戦は、同様の一連の取り締まりに続くものである。Googleは以前にBadboxキャンペーンを標的にし、住宅用プロキシ運営者に対して法的措置を取ってきた。KrebsOnSecurityとSynthientは、今回の解体に先立ち、PopaとNetNutおよびAlarum Technologiesを結びつける証拠を発表していた。

出典: KrebsOnSecurity、SecurityWeek、Google Threat Intelligence Group

雅子 訳

Scroll to Top