概要

Googleは脅威インテリジェンスグループを通じ、FBIや通信大手Lumenなどと連携して、住宅用プロキシネットワーク「NetNut」(別名Popa)の破壊作戦を実施したと発表した。NetNutはスマートTVやストリーミングデバイスなど、世界中の少なくとも200万台のホームデバイスを組み込み、それらを外部トラフィックの中継地点(出口ノード)として悪用していたとされる。2026年7月2日には関連ドメインの差し押さえも行われたが、Google自身は今回の作戦を「殲滅ではなく機能低下」と位置づけている。

悪用の手口と規模

NetNutは、家庭のインターネット回線を経由して第三者のトラフィックを流すことで、攻撃活動を正規の住宅トラフィックに見せかける仕組みを提供していた。感染経路としては、安価なハードウェアにあらかじめ組み込まれたマルウェアや、一見正規に見える無料アプリに隠された不正機能が使われていたという。Googleの調査によれば、6月のある1週間だけでもNetNutの出口ノードを利用していると疑われる316もの異なる脅威クラスターが確認されており、サイバー犯罪グループから諜報活動を行う集団まで幅広く悪用していたことが判明している。こうした匿名化インフラは、攻撃者が実際の所在地を隠しながらパスワード推測攻撃などを行うことを可能にし、トラフィックの中継地点とされた家庭のネットワークやその居住者にも深刻なリスクをもたらしていた。

運営企業と反論

NetNutを運営しているのは、イスラエルの上場企業Alarum Technologies(NASDAQ: ALAR)であることが明らかになっている。同社はボットネットであるとの指摘を否定し、自社のソフトウェアは利用者の同意に基づく「帯域幅の共有」を可能にするものだと主張している。しかし、セキュリティ研究機関Synthientが調査した20以上のアプリのうち、実際に利用者へ同意確認画面を表示していたものは一つもなかったと報告されている。なお、Popaとの関連付けはSynthientのほか、Qurium、Nokia Deepfield、Spurといった研究者らによって行われた。

今後の見通し

Googleは今回の措置により利用可能なデバイス数を大幅に減少させたとしているが、ネットワークを完全に壊滅させたわけではないと強調しており、今後も監視と対策の継続が必要になるとみられる。一般ユーザーへの注意喚起としては、未使用の帯域幅提供に対価を約束するようなアプリのインストールを避けること、公式アプリストアのみを利用すること、Google Play Protectなどのセキュリティ機能を有効にしておくこと、そして出所の不明なメーカーではなく信頼できるメーカーの端末を購入することが推奨されている。