何が起きたのか
米連邦捜査局(FBI)は、Googleの協力を得て、住宅用プロキシサービス大手「NetNut」のドメインを差し押さえたと報じられた。押収の理由は、NetNutのインフラが「Popa」と呼ばれるボットネットと結びついていたことにある。Neowinの報道によれば、このボットネットは数百万台規模のデバイスに影響を及ぼしていたとされる。
住宅用プロキシとボットネットの「悪魔合体」
住宅用プロキシサービスとは、一般家庭のインターネット回線のIPアドレスを経由して通信を行う仕組みを指す。本来はマーケティング調査や価格比較、広告の不正検知など正当な用途で使われるサービスだが、「一般家庭のIPアドレスに見える」という性質は、サイバー犯罪者にとっても好都合な隠れ蓑になる。
過去に米国で摘発された「911 S5」のように、マルウェアに感染したデバイスをひそかに「出口ノード」として使い、正規の住宅用プロキシに見せかけて第三者に販売する手口はたびたび報告されてきた。今回のNetNutとPopaボットネットの関係も、同様の構図であった可能性が高い。仮にそうだとすれば、感染に気づかないまま自宅のルーターやPCが犯罪インフラの一部として使われていた利用者が、世界中に数百万人単位で存在していたことになる。
法執行機関単独ではドメインやインフラの技術的な差し押さえは難しく、Googleのような大手プラットフォーマーの技術支援・情報提供が不可欠になっている点も見逃せない。近年のボットネット摘発では、こうした「官民連携」がもはや当たり前になりつつある。
実務への影響
日本のIT管理者にとっても他人事ではない。住宅用プロキシ経由の通信は、一般利用者の正規アクセスと見分けがつきにくく、IPレピュテーションやジオIPブロックだけに頼ったアクセス制御は簡単にすり抜けられる。クレデンシャルスタッフィングやアカウント乗っ取りの試行が、社内から見て「普通の日本国内の家庭用回線」から来ているように見えるケースは、今後さらに増えるだろう。
実務的には次のような対応が現実的だ。
- ログ分析で、同一アカウントに対する短時間・多地点からのログイン試行を監視する
- IPアドレスの評判情報だけでなく、デバイスフィンガープリントや行動パターンによる異常検知を併用する
- 自社が業務でNetNutのような住宅用プロキシサービスを利用している場合、契約先のセキュリティ体制やコンプライアンスを再確認する
筆者の見解
セキュリティは正直あまり好きな分野ではない。細かい話が多いからだ。それでも今回のような話には強く興味を引かれる。理由は単純で、これは「IPアドレスを信用する」という発想そのものの限界を示す事例だからだ。
筆者はかねてゼロトラストの推進派で、VPNのような境界防御にはあまり期待していない。今回のケースは、まさにその立場を裏付けるものだと感じる。攻撃者が住宅用プロキシを悪用すれば、企業の外形的なIP制御などいくらでもすり抜けられてしまう。守るべきはネットワークの出入り口ではなく、ネットワーク層・認証層・認可層の3層であるという原則に、改めて説得力が増したと言えるだろう。
日本の大企業では、古い境界防御モデルと中途半端なゼロトラストが混在し、かえって複雑で脆弱な構成になっているケースを見かける。今回のような摘発のニュースをきっかけに、自社のアクセス制御が「IPアドレスが日本国内なら安全」という前提に寄りかかっていないか、あらためて点検する機会にしてほしい。FBIとGoogleの連携による摘発は歓迎すべき動きであり、今後も同様の官民連携によるボットネット撲滅が進むことを期待したい。
出典: この記事は FBI seizes NetNut domain with Google’s help after links found to Popa botnet の内容をもとに、筆者の見解を加えて独自に執筆したものです。