はじめに – Kimwolfボットネットの脅威

「Kimwolf」と名付けられた新たなIoTボットネットが、200万台以上のデバイスに感染を拡大させています。感染したシステムは大規模な分散型サービス拒否（DDoS）攻撃や、その他の悪意あるインターネットトラフィックの中継に利用されており、組織にとって深刻な脅威となっています。Kimwolfは、感染したシステムのローカルネットワークをスキャンし、他のIoTデバイスに感染を広げる能力を持っており、新たな調査によって政府機関や企業ネットワークにも驚くほど普及していることが明らかになりました。

拡散メカニズム – 居住プロキシの悪用

Kimwolfは2025年末にかけて急速に成長し、様々な「居住プロキシ」サービスを欺き、それらのプロキシエンドポイントのローカルネットワーク上のデバイスに悪意あるコマンドを中継させました。居住プロキシは、Webトラフィックを匿名化・地域化するサービスであり、多くの場合、感染したデバイスをアドフラウド、アカウント乗っ取り、大量のコンテンツスクレイピングなどの悪意あるトラフィックの中継に強制的に参加させます。

Kimwolfは主に中国のサービスであるIPIDEAのプロキシを標的としました。IPIDEAは何百万ものプロキシエンドポイントを保有しています。Kimwolfの運営者は、IPIDEAのプロキシエンドポイントの内部ネットワークに悪意あるコマンドを転送し、各エンドポイントのローカルネットワーク上の他の脆弱なデバイスをプログラム的にスキャンして感染させることができることを発見しました。Kimwolfのローカルネットワークスキャンによって侵害されたシステムのほとんどは、非公式のAndroid TVストリーミングボックスでした。これらは通常、セキュリティや認証機能が組み込まれていないため、マルウェアによって容易に侵害される可能性があります。

企業・政府ネットワークへの侵入実態

Kimwolfが居住プロキシネットワークや侵害されたAndroid TVボックスと密接に関連しているにもかかわらず、その感染は企業ネットワークでも見られます。セキュリティ企業Infobloxは、2025年10月1日以降、顧客トラフィックのレビューから、約25パーセントの顧客がKimwolf関連のドメイン名にクエリを送信していることを発見しました。これは、顧客の約25%がKimwolfの運営者に狙われた居住プロキシサービスのエンドポイントとなるデバイスを少なくとも1つ持っていたことを示唆しています。Infobloxは、教育、ヘルスケア、政府、金融など、世界中の幅広い業界の顧客に影響が見られたと述べています。

プロキシサービスを追跡する新興企業Synthientは、Kimwolfが拡散に利用する独特な方法を最初に開示しました。同社は、大学や学術機関で少なくとも33,000のIPIDEAプロキシが影響を受けているインターネットアドレスを発見し、米国内外の様々な政府ネットワーク内でも約8,000のIPIDEAプロキシを確認しました。

さらに、プロキシ追跡サービスSpurの専門家は、居住プロキシが約300の政府所有・運営ネットワーク、318の公益事業会社、166のヘルスケア企業や病院、141の銀行・金融機関で発見されたと報告しています。Spurの共同創設者であるライリー・キルマー氏は、特に米国防総省（DoD）のネットワーク内にIPIDEAや他のプロキシサービスが存在することに「恐ろしい」と懸念を表明しました。

居住プロキシがもたらす新たなリスク

キルマー氏は、Kimwolfが、ファイアウォールの背後に保護されていないデバイスを抱える組織にとって、単一の居住プロキシ感染がより大きな問題に急速につながる可能性を示していると述べています。プロキシサービスは、攻撃者が標的となる組織のローカルネットワーク内の他のデバイスを探索する潜在的に簡単な方法を提供します。「企業内にプロキシ感染があることを知っていれば、そこを出口として選び、ローカルにピボット（足がかりとして内部侵入を試みる）することができます」とキルマー氏は警告しています。

元記事: https://krebsonsecurity.com/2026/01/kimwolf-botnet-lurking-in-corporate-govt-networks/