関連記事
FBIとGoogle、200万台の家庭用機器をスパイに貸し出していた巨大ボットネット「NetNut」を摘発

(Netnut.io)[写真拡大]
米連邦捜査局(FBI)とGoogleは2026年7月2日(現地時間)、世界最大級の住宅用プロキシボットネット「NetNut」を共同で解体したと発表した。このボットネットは、スマートTVやAndroid搭載のストリーミング端末など、推定200万台の家庭用消費者機器に密かに侵入し、ハッカーや国家スパイ組織にインターネット接続を貸し出していたとされる。身に覚えのないアプリによって、あなたの自宅のネットワークがサイバー犯罪の踏み台にされていた可能性がある。
■リビングのスマートTVがサイバー犯罪の「踏み台」に
リビングルームにあるスマートTVやストリーミング端末が、過去数年間にわたり、ユーザーの知らないところで、同意も得ず、何の利益ももたらさないまま、ハッカーやパスワードスプレー攻撃グループ、政府系スパイ組織に自宅のインターネット接続を勝手に貸し出していた可能性がある。この事態は、2026年7月2日(現地時間)にFBIとGoogleが共同で「NetNut」を解体したことで、少なくとも部分的には終息を迎えた。NetNutは、これまでに記録された中で最大級の住宅用(レジデンシャル)プロキシボットネットであり、推定200万台の消費者機器を密かに取り込み、2026年6月のわずか1週間で316もの異なるサイバー犯罪およびスパイグループにサービスを提供していたとされる。
Googleの脅威分析グループ(GTIG)、FBI、Lumen Technologies、Shadowserver Foundation、および米内国歳入庁(IRS)の犯罪捜査部門が共同で実施したこの作戦は、3つの方向から同時にネットワークを攻撃した。まず、NetNutがコマンド&コントロール(C2)に使用していたGoogleアカウントとサービスを遮断した。次に、NetNutの隠されたソフトウェア開発キット(SDK)に関する技術情報を世界中のプラットフォームプロバイダーやセキュリティ研究者と共有した。そして、Androidのセキュリティ機能「Google Play Protect」を更新し、NetNutのプロキシコードを含むことが判明しているAndroidアプリケーションを自動的に検出、無効化、ブロックできるようにした。同時にFBIは、「netnut.com」「proxyjet.io」「divinetworks.com」を含む数百のドメインを押収し、NetNutのホームページを連邦政府による押収を示すバナーに差し替えた。
■NetNutの正体と、テレビに侵入した手口
研究者の間で「Popa」としても追跡されているNetNutは、米ナスダック市場に上場しているイスラエル企業Alarum Technologies(ティッカーシンボル:ALAR)が運営する住宅用プロキシネットワークである。表向きは、広告の検証や価格監視、ウェブスクレイピングなどの目的で、企業が実際の家庭のIPアドレスを経由してウェブトラフィックをルーティングするためのツールとして販売されている。しかし、住宅用プロキシネットワークが機能するためには、数百万台の実際の家庭用機器を「出口ノード(エグジットノード)」として確保する必要がある。NetNutがその機器プールを構築した手法こそが、連邦法執行機関の捜査対象となった理由である。
GTIGや、Synthient、Qurium Media Foundation、Nokia Deepfield、Spur Intelligenceなどの独立系セキュリティ企業による調査では、NetNutが一般的なアプリ(主にIPTVアプリ、ストリーミングユーティリティ、スマートTVやAndroidストリーミング端末向けに提供されているツール)に埋め込まれたSDKを配布することで、ボットネットを構築していたことが確認された。これらのSDKは、その真の機能をユーザーに明示していなかった。SynthientがNetNutのプロキシコードを含むことが判明している20以上のアプリを調査したところ、アプリをインストールすることで自宅のインターネット接続が有料で他人に貸し出される中継器になることを、ユーザーに分かりやすく説明し同意を求めるプロンプトを表示するアプリは一つもなかったという。
SDKを含むアプリがインストールされると、デバイスは静かにボットネットに登録される。SDKは、NetNutのC2インフラへのバックグラウンド接続を確立する。GTIGの調査によると、このインフラはGoogle自身のサービス上でホストされていた。これは「信頼されたサービスの悪用(living off trusted services)」と呼ばれる手法で、通常のクラウドプロバイダーのネットワークトラフィックの中に悪意あるトラフィックを隠蔽するものだ。その後、SDKはローカルプロキシのリスナーポートを開き、デバイスをNetNutの有料顧客向けの出口ノードとして設定する。
■犯罪者の資産となった「住宅用IPアドレス」の信頼性
住宅用プロキシの商業的価値、そしてそれがもたらす危険性は、インターネットがトラフィックを識別する方法という技術的な事実に起因している。一般のインターネットサービスプロバイダー(ISP)から割り当てられたIPアドレスは、商業的なアンチボットシステム、不正検出システム、セキュリティシステムにおいて高い信頼スコア(Trust Score)を持つ。これらのアドレスは、公開されているIPレピュテーションデータベースにおいて、長期にわたる利用実績があるISPの自律システム番号(ASN)に属しているためだ。家庭用ISPのIPから発信されたリクエストは、ウェブを閲覧している一般の消費者と区別がつかない。一方で、データセンターのIPからのリクエストは、商業用または自動化されたインフラとして容易に識別され、日常的にブロックや監視の対象となる。
NetNutは、数百万台の家庭用機器を出口ノードとして登録することで、信頼性の高い住宅用IPアドレスの膨大なプールへのアクセスを販売していた。有料顧客は自らのインターネットトラフィックをこれらの出口経由でルーティングでき、トラフィックの送信先には、顧客の実際の場所ではなく、合法的な家庭用IPアドレスが表示される。これはサイバー犯罪者にとって、即座に実用的な価値を持っていた。例えば、アカウントのロックアウトを回避するために、大量のアカウントに対して少数の一般的なパスワードを試す「パスワードスプレー攻撃」は、住宅用プロキシを経由すると極めて効果的になる。各試行が異なる都市の異なる家庭の接続から発信されているように見えるため、IPごとのレート制限(回数制限)が機能しなくなるからだ。
2026年6月のわずか1週間で、GTIGはNetNutの出口ノードと疑われるアドレスを使用している316の異なる脅威クラスターを観測した。これらのクラスターには、組織化されたサイバー犯罪集団と国家主導のスパイグループの両方が含まれており、被害者の環境へのアクセス、自らのインフラへの接続、企業ターゲットに対するパスワードスプレー攻撃の実行時に、実際の場所を隠すためにこのネットワークを利用していたという。
■家庭内ネットワーク全体に及ぶ危険性
デバイスの所有者にとっての危険は、インターネット速度の低下や、自身のIPアドレスがブラックリストに登録されることだけにとどまらない。消費者機器が出口ノードとして機能する場合、NetNutの有料顧客からの不正なトラフィックはそのデバイス内だけに留まらない。トラフィックはそのデバイスを通過する。そして、そのデバイスはノートPC、スマートフォン、スマートスピーカー、防犯カメラなどと同じ家庭内ネットワーク上にあるため、同じルーターの背後にある他のすべてのデバイスへの経路が開かれてしまうことになる。
GTIGはこれを明確に指摘している。NetNutを利用する悪意あるアクターは、同じ家庭内ネットワーク上の他のプライベートデバイスにアクセスでき、それらをインターネット上の脅威にさらす可能性がある。多くの消費者が信頼でき保護された環境と考えている家庭内ネットワークセグメントが、登録デバイスの所有者にとっては、NetNutの有料顧客がそのアクセス権を使って行うあらゆる行為に対して無防備な状態になっていた。
さらに、Synthient、Spur、Nokia Deepfieldなどの公開レポートでは、NetNutのインフラが、登録されたデバイスに「Mirai」マルウェアファミリーの亜種を感染させるために使用されていたことも記録されている。Miraiは、インターネット史上最大規模の分散型サービス拒否(DDoS)攻撃を引き起こしたことで知られるマルウェアであり、単なる受動的なトラフィック中継を超えたリスクをもたらしていた。
■Google、FBI、IRSによる共同対処
GTIGは今回の対策を、NetNutの運営の異なるレイヤーを標的とした3つのパートに分けて説明している。
第一に、GoogleはNetNutがマルウェアのC2に使用していたGoogleアカウントと関連サービスを無効化した。Googleのクラウドインフラを犯罪行為のC2に利用することは、同社の利用規約および禁止行為規定に直接違反する。このインフラを遮断したことで、ボットネット運営者が登録デバイスに大規模な指示を出す能力は失われた。
第二に、GoogleはNetNutのSDKおよびバックエンドC2インフラに関する詳細な技術情報を、プラットフォームプロバイダー、法執行機関、セキュリティ研究機関と共有した。これは、Google自身のプラットフォームに限定された一時的な対処にとどまらず、エコシステム全体での取り締まりを目指したものである。
第三に、Androidに組み込まれているマルウェア防御機能「Google Play Protect」が更新され、NetNutのSDKを組み込んでいることが判明しているアプリケーションを自動的にユーザーに警告し、無効化するとともに、今後のインストール試行をブロックする保護機能が拡張された。Play Protectが有効になっている認定デバイスのAndroidユーザーには、影響を受けるアプリケーションに関するアラートが送信された、あるいは送信される予定である。
同時に、FBIはNetNutに関連する数百のドメインの押収令状を執行した。この押収バナーにはIRSの犯罪捜査部門も名を連ねており、この共同作業は、ネットワーク悪用の容疑に加えて、財務犯罪の疑いにも捜査が及んでいる可能性を示唆している。
Alarum Technologiesの法的代理人であるオメル・ワイス氏は、ドメインの押収を認識していることを認め、Alarumは「自社インフラの悪用が徹底的に調査され、責任者が処罰されるよう、法執行機関に全面的に協力する」と述べた。同社は過去の声明において、自社ソフトウェアがボットネットであるという見方を否定しており、独立系セキュリティ研究の成果を「明白に不正確な主張と欠陥のある推論」と表現していた。しかし、これらの過去の否認は、SDKがユーザーに意味のある同意プロンプトを提示せずに導入されていたという、Synthientが20以上の調査対象アプリで確認した独立した技術的検証結果と矛盾している。
■1つの摘発では終わらない市場:プロキシネットワークの再生力
Googleは、今回の措置によって達成された成果の限界についても率直に語っている。その限界は、消費者とセキュリティ専門家の双方が理解しておくべき、住宅用プロキシ業界に関する重要な事実を示している。
Googleが2026年1月にNetNutの最大の競合であった「IPIDEA」を解体した後の経過は、示唆に富んでいる。Bitsightの調査によると、IPIDEAの後継インフラは、解体からわずか1日以内に解体前のデバイス数まで再構築された。その仕組みは単純である。自前のボットネット能力を失ったプロキシ運営者は、競合他社からアクセス権を購入し、事実上のリセラー(再販業者)となる。根本的な市場の需要は消えず、別の場所へ移動するだけなのだ。乗っ取られた消費者機器の重複するプールから電力を供給し、リセラープログラムを通じて相互に接続された複数の巨大な住宅用プロキシネットワークが存在する場合、1つのプロバイダーを解体しても市場は一時的に低下するだけで、構造自体は変わらない。
NetNutのリセラープログラムはこの問題を顕著に示していた。GTIGは「多くの人気のある住宅用プロキシブランドが、実際にはNetNutボットネットをホワイトラベル(OEM提供)として利用している可能性が極めて高い」と指摘している。つまり、消費者や企業バイヤーにとって独立した製品に見える多くのプロキシサービスが、実際には乗っ取られた家庭用機器の同じプールから供給されていたということだ。したがって、NetNutの解体は、NetNutの名を冠していないサービスであっても、住宅用プロキシ業界全体に連鎖的な影響を及ぼす。しかし、市場が再構成される構造的な能力そのものを解体したわけではない。
GTIGもこの点を明確に認めている。「この流動的なエコシステムにおいて持続的な効果を生み出すためには、相互に接続された複数のプロバイダーのインフラを標的とするよう、取り組みの規模を拡大しなければならないことを認識している」。同社は、NetNutの競合他社が今回の措置にどのように適応するかを引き続き監視し、関連する運営者を標的とした追加の取り締まりキャンペーンを計画していると述べた。
■自分のデバイスが影響を受けているか確認する方法
GTIGが提供する消費者向けガイダンスは、個々のユーザーが今すぐ実行できる対策を示しており、単に「デバイスを最新の状態に保つ」という一般的なアドバイスよりも具体的である。
住宅用プロキシボットネットの主な勧誘手口は、「未使用の帯域幅を共有する」ことや「寝ている間にインターネット接続を働かせる」ことと引き換えに報酬を提供するアプリケーションである。これらのオファーは、明白な警告サインとして扱うべきだ。ユーザーの同意を真に尊重する合法的なアプリケーションが、バックグラウンドで家庭のインターネット接続を収益化する必要はない。
特にAndroidデバイスおよびAndroid TVデバイスについては、Google Play Protectを有効にし、アクティブに保つことが最も直接的な緩和策となる。Play Protectは現在、NetNutのSDKを含むことが判明しているアプリケーションを自動的に無効化し、同じソースからの今後のインストール試行をブロックするように構成されている。ユーザーは、Google Playストアを開き、メニューから「Play Protect」を選択し、アクティブとして表示されていることを確認することで、Play Protectのステータスを確認できる。
また、ストリーミング端末やセットトップボックス、スマートTVを購入する際、GTIGはGoogleのAndroid TVパートナーリスト(android.com/tv で確認可能)に掲載されているメーカーのハードウェアを選択することを推奨している。Android TVの認定を受けているデバイスは、Play Protectが統合された公式のOSビルドを実行している。これに対し、オンラインマーケットプレイスなどで大幅に値引きされて販売されている未認定のデバイスは、これらの保護機能がない非公式のAndroidバリアントを実行していることが多く、歴史的にPopa/NetNutの主な標的となってきた。
自宅のIPアドレスが住宅用プロキシノードとして観測されたかどうかを確認したい読者は、Synthientが提供するIPチェックツールを利用できる。これは家庭内ネットワーク上のどの特定のデバイスが登録されているかを特定するものではないが、世帯のIPアドレスがフラグを立てられているかどうかを確認することができる。
■注目ポイントQ&A
●住宅用プロキシボットネットとは何ですか? 通常のボットネットと何が違うのですか?
従来のボットネットは、乗っ取ったデバイスを使用して標的に大量のトラフィックを送りつけたり(DDoS攻撃)、スパムを送信したり、データを盗んだりします。一方、住宅用プロキシボットネットは、乗っ取ったデバイスのインターネット接続を有料顧客に貸し出し、顧客が自身のトラフィックを隠蔽するために使用させるという、ビジネスモデル的な違いがあります。顧客は一般家庭のIPアドレスを利用できるため、データセンターなどのIPをブロックするセキュリティフィルターを回避できます。デバイスの所有者にとっては、自宅の回線が勝手に商業利用され、IPアドレスがブラックリストに登録されたり、家庭内ネットワーク上の他のデバイスが脅威にさらされたりするリスクがあります。
●自分のスマートTVやストリーミング端末がNetNutボットネットの一部になっているか確認する方法はありますか?
デバイス内に分かりやすいインジケーターはありません。Android搭載デバイスの場合、最も効果的な方法はGoogle Playストアを開き、「Play Protect」でスキャンを実行することです。Play ProtectはNetNutのSDKを含むアプリを検出して無効化します。また、「未使用の帯域幅を共有して報酬を得る」といったアプリをインストールしている場合は、すぐにアンインストールしてください。さらに、SynthientのIPチェックツールを使用して、自宅のIPアドレスがプロキシノードとして検出されているか確認することも可能です。
●なぜNetNutを解体しても、住宅用プロキシボットネットの問題は解決しないのですか?
この問題は単一の運営者ではなく、「市場」全体に根ざしているためです。住宅用プロキシ業界はリセラープログラムを通じて複数のネットワークが相互に接続されており、1つのネットワークが遮断されても、顧客は数時間以内に競合他社へ移行します。2026年1月に最大手だったIPIDEAが解体された際も、わずか1日後には後継インフラが元の規模まで再構築されました。アプリストア、デバイスメーカー、ISPが連携して、アプリに潜むSDKの配布チェーン全体に対処しない限り、根本的な解決には至りません。
●ストリーミング端末などを購入する際、このリスクを避けるために何をすべきですか?
購入前に、そのデバイスがGoogleの公式「Android TVパートナーリスト」(android.com/tv)に掲載されているか確認してください。リストにある認定デバイスは、Google Play Protectが統合された公式OSを実行しています。オンラインマーケットプレイスなどで格安で販売されている未認定のAndroid端末は、保護機能のない非公式OSを実行していることが多く、ボットネットの主な標的となっています。また、購入後は「インターネット共有で報酬を得られる」と謳うアプリの利用を避け、Play Protectを常に有効に保ってください。
元記事: FBI and Google Disrupt NetNut Botnet That Rented 2 Million Home Devices to Spies
※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。
スポンサードリンク

