サイバーニュース.jp

世界のサイバーなニュースを配信

Kimwolfボットネットがローカルネットワークを狙う:200万台以上のデバイスが感染

カテゴリ:

キムウルフ(Kimwolf)ボットネットの台頭

最近、インターネット全体にわたる緊急のセキュリティ勧告として、新たなボットネット「Kimwolf」が急速に拡大していることが明らかになりました。専門家によると、このボットネットは世界中で200万台以上のデバイスに感染しており、ベトナム、ブラジル、インド、サウジアラビア、ロシア、米国に集中しています。

Kimwolfマルウェアは、侵害されたシステムを利用して、広告詐欺、アカウント乗っ取りの試み、大量のコンテンツスクレイピングなどの悪意あるインターネットトラフィックを中継し、ウェブサイトを数日間オフラインにする能力を持つ分散型サービス拒否(DDoS)攻撃にも関与しています。

感染拡大の手口:住宅用プロキシとローカルネットワークへの侵入

Kimwolfの急速な感染拡大のより重要な側面は、その巧妙な伝播方法にあります。このボットネットは、さまざまな「住宅用プロキシ」ネットワークを介して効果的にトンネルバックし、プロキシエンドポイントのローカルネットワークに侵入します。そして、ユーザーのファイアウォールとインターネットルーターの保護下にあると思われているデバイスにまで感染を広げます。

住宅用プロキシネットワークは、顧客がWebトラフィックを匿名化し、特定の地域にローカライズするために販売されています。これらのサービスは、ユーザーのインターネット接続をプロキシノードに変えるマルウェアが、しばしば怪しいモバイルアプリやゲームにバンドルされています。

脆弱なデバイス:Android TVボックスとデジタルフォトフレーム

Synthientの調査によると、Kimwolf感染の3分の2は、セキュリティや認証機能が組み込まれていないAndroid TVボックスです。これらのAndroid TVボックスは、Amazon、BestBuy、Newegg、Walmartなどの主要なeコマースサイトで販売されており、「特定の種類のサブスクリプションビデオコンテンツを無料でストリーミングする方法」として宣伝されることが多いです。

また、Kimwolfはインターネットに接続された様々なデジタルフォトフレームにも感染しています。これらのデバイスの多くには、マルウェアがプリインストールされているか、または非公式なAndroidアプリストアからマルウェアをダウンロードする必要があります。さらに、これらのデバイスは、ほとんどセキュリティや認証要件がないマイクロコンピュータボードに依存しているため、同じネットワーク内の他のデバイスを単一のコマンドで侵害できるという大きなセキュリティ問題があります。

専門家による発見とIPIDEAの対応

2025年10月、ロチェスター工科大学の学部生であるベンジャミン・ブランデージ氏は、Kimwolfの成長を追跡し始めました。彼の設立したセキュリティ企業Synthientは、住宅用プロキシサービスの脆弱性を悪用していることを発見しました。多くのプロキシサービスは、顧客がRFC-1918に指定されたローカルアドレス(例:10.0.0.0/8、192.168.0.0/16など)への要求を転送することを防ぐための基本的な対策を講じています。しかし、Kimwolfの運営者は、DNS設定をRFC-1918アドレス範囲と一致させることで、プロキシエンドポイントの内部ネットワーク上のデバイスと直接通信する方法を突き止めました。

さらに、ブランデージ氏は、Kimwolfボットネットに感染したAndroid TVボックスの多くが、製造およびテスト目的でのみ使用されるはずの強力な機能である「Android Debug Bridge(ADB)モード」がデフォルトで有効になっている状態で出荷されていることを発見しました。ADBが有効になっているデバイスは、認証されていない接続要求を常にリッスンし、受け入れるため、セキュリティ上の悪夢となります。実際に、コマンドプロンプトから「adb connect [脆弱なデバイスのIPアドレス]:5555」と入力するだけで、無制限の「スーパーユーザー」管理アクセスが非常に迅速に提供されます。

ブランデージ氏は、2025年12月までに、IPIDEAが提供するプロキシIPアドレスとKimwolfの新規感染の間に一対一の重複があることを特定しました。IPIDEAは当初、Aisuruボットネットとの関連を否定しましたが、ブランデージ氏の調査後、IPIDEAのセキュリティ担当者は、テストおよびデバッグ用のレガシーモジュールが悪用されていたことを認め、脆弱性を修正したと発表しました。

過去のボットネットとの関連性

ブランデージ氏とキルマー氏(Spur.us創設者)は、IPIDEAが2014年から2022年にかけて運営され、サイバー犯罪フォーラムで非常に人気があった住宅用プロキシネットワーク「911S5 Proxy」の第二または第三の生まれ変わりであると見ています。911S5 Proxyは、2022年にその怪しい起源に関する報道がされた後、わずか1週間で崩壊しました。米国財務省は2024年7月、911S5 Proxyの疑惑の作成者を制裁し、米国司法省は中国人容疑者を逮捕しています。

キルマー氏は、IPIDEAが「922 Proxy」という姉妹サービスも運営しており、これは911S5 Proxyのシームレスな代替として売り込まれていると指摘しています。

我々への影響と対策

Kimwolfボットネットの脅威は、私たちの日常に深く関わってきます。例えば、友人にWi-Fiネットワークへのアクセスを許可するだけで、その友人のモバイルフォンが住宅用プロキシノードに変えるアプリに感染している場合、あなたの自宅のパブリックIPアドレスがプロキシプロバイダーのウェブサイトに表示される可能性があります。悪意ある攻撃者はそのプロキシノードを介してローカルエリアネットワーク(LAN)に侵入し、ADBモードがオンになっているデバイスを自動的にスキャンしてKimwolfに感染させることができます。

さらに恐ろしいシナリオとして、攻撃者がプロキシネットワークへのアクセスを利用して、インターネットルーターの設定を変更し、攻撃者が制御する悪意あるDNSサーバーに依存させることで、ウェブサイトへのアクセスを制御する可能性もあります。これは、2012年に50万台以上のルーターを感染させたDNSChangerマルウェアの記憶を呼び起こします。

これらの脅威から身を守るためには、以下の点に注意することが重要です。

  • 出所の不明なAndroid TVボックスやデジタルフォトフレームの使用を避ける。
  • 怪しいモバイルアプリやゲームをダウンロードしない。
  • Wi-Fiネットワークに接続するデバイスのセキュリティを常に意識する。
  • ルーターのDNS設定を定期的に確認し、不審な変更がないか監視する。

元記事: https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/

投稿をさらに読み込む