オランダ警察と国家サイバーセキュリティセンター(NCSC)は2026年5月29日、1700万台以上のデバイスを掌握し200台のサーバーで管理されていた大規模ボットネットの解体に成功したと発表した。Ars TechnicaのシニアセキュリティエディターDan Goodin氏が詳細を報じている。
なぜこのボットネットが注目されるのか
規模の桁が違う。1700万台というのは、日本の全世帯数の約3割に相当する数のデバイスが、所有者の知らぬ間にサイバー犯罪のインフラとして利用されていたことを意味する。しかもボットネットの管制サーバーはオランダのホスティングプロバイダーに置かれており、グローバルに展開していた点が今回の件を際立たせている。
発端は一人のセキュリティ研究者が当局に通報したことだった。その後、オランダ警察とNCSCが共同捜査を実施し、プロバイダーがボットネットサーバーをオフラインにすることで壊滅させることに成功した。
Ars Technicaが報じた注目ポイント
ロシア系プロキシ業者ASOCKSとの関連
Dan Goodin氏の報告によると、このボットネットはロシアに本拠を置く「ASOCKS」という住宅用プロキシサービス業者(Residential Proxy Service)と関連しているとされる。住宅用プロキシとは、一般ユーザーのデバイスを踏み台としてトラフィックを中継するサービスだ。利用者は自身の本来のIPアドレスや所在地を隠すことができる。この種のサービスはDDoS攻撃、フィッシング詐欺の実行、C2(コマンド&コントロール)サーバーの運用、Webスクレイピングなど、様々な犯罪行為のインフラとして悪用される。
Ars Technicaは独自にこの関連性を確認することはできなかったと正直に記しているが、NCSCの公式発表がリンクした関連レポートで「住宅用プロキシはオランダ組織への攻撃に使われており、通常トラフィックと見分けがつきにくいためサイバー犯罪対策が難しくなる」と明示的に警告していたことは事実だ。
2024年に発覚した前歴「Proxylib」
2024年、セキュリティ企業Humanの研究者は「Proxylib」と呼ばれるボットネットがASOCKSと関連していることを突き止めていた。Google Playに公開されていた28本のアプリが、ユーザーの承認なしに最大19万台のデバイスをロシア系プロキシネットワークに組み込んでいたことが明らかになっている。今回の1700万台がどのような経路で感染したかは現時点では不明だが、典型的な手口としてはソフトウェアの脆弱性の悪用や悪意あるアプリのインストールが挙げられる。
日本市場での注目点
日本も決して対岸の火事ではない。住宅用プロキシ経由の攻撃は、攻撃元が一般家庭のIPアドレスに見えるため、企業のセキュリティ機器による検知が格段に難しくなる。特にサポート切れのルーター、古いAndroid端末、放置されたIoTデバイスを使い続けているユーザーや企業は感染経路になりやすい。
Dan Goodin氏が推奨する個人・組織レベルの対策は以下の通りだ:
- セキュリティアップデートを速やかに適用する
- アップデートの提供が終了したソフトウェア・デバイスの使用をやめる
- アプリをインストールする前に十分に調査する
- 不要になったアプリはすぐにアンインストールする
企業のセキュリティ担当者としては、エンドポイント管理ツールで組織内デバイスのパッチ適用状況を常時把握する体制が今や必須だ。
筆者の見解
1700万台という数字は、サイバー犯罪のインフラが個人の日常デバイスの上に密かに構築されるという現実を突きつけている。しかも感染経路の一つがGoogle Playの正規アプリというのは、プラットフォームの審査体制に改めて問いを投げかけるものだ。
今回の摘発は、研究者コミュニティが当局に情報を共有し、法執行機関がホスティングプロバイダーと連携して動いた好例だ。ただ、ボットネットは一つ壊滅しても別の場所に生まれ変わる。規制や取り締まりは必要だが、根本的な解決策はユーザーの習慣にある。「禁止・制限」よりも「安全に使える仕組みを当たり前にする」アプローチが長期的には効果的だ。
自分のデバイスが知らぬ間に犯罪インフラの一部になっているかもしれないという意識を、もっと広く持てる社会にしていく必要がある。セキュリティ更新の適用とアプリの精査という地味な習慣が、巨大な犯罪インフラを支える土台を崩す唯一の道だ。
出典: この記事は Botnet of more than 17 million devices dismantled の内容をもとに、筆者の見解を加えて独自に執筆したものです。