Last Updated on 2025-05-11 17:29 by admin
米国とオランダの法執行機関は、2025年5月9日、「Operation Moonlander(ムーンランダー作戦)」と名付けられた国際的な作戦により、約7,000台のIoT(モノのインターネット)デバイスとEoL(サポート終了)ルーターを利用した犯罪プロキシネットワークを解体した。
このボットネットは、「Anyproxy.net」と「5socks.net」という2つのプロキシサービスを運営しており、2004年から約20年間にわたって稼働していたとされる。ユーザーは月額9.95ドルから110ドルの料金を支払うことで、感染したルーターを経由した匿名通信サービスを利用できた。
この作戦に伴い、米国司法省はロシア国籍のAlexey Viktorovich Chertkov(37歳)、Kirill Vladimirovich Morozov(41歳)、Aleksandr Aleksandrovich Shishkin(36歳)、およびカザフスタン国籍のDmitriy Rubtsov(38歳)を共謀罪と保護されたコンピュータへの損害の罪で起訴した。容疑者らはこのサービスの運営により、約4,600万ドル(約69億円)を稼いだとされている。
Lumen Technologies社のBlack Lotus Labsによると、このボットネットは週平均で1,000台のユニークなボットがトルコに設置された指令・制御(C2)インフラと接触しており、被害者の半数以上が米国に集中し、次いでカナダとエクアドルに多く分布していた。同社の調査では、2024年1月と2月には88カ国から40,000台以上のボットが確認されていた。
感染デバイスには「TheMoon」と呼ばれるマルウェアが使用されており、このマルウェアは2014年にSANS Technology Instituteによって初めて文書化されたLinksysルーターを標的とするものである。FBIによると、TheMoonはパスワードを必要とせず、オープンポートをスキャンして脆弱なスクリプトにコマンドを送信する方式で感染を広げる。
このプロキシサービスは広告詐欺、DDoS攻撃、ブルートフォース攻時、被害者データの悪用などに利用されていた。
この作戦には米国とオランダの当局のほか、タイ王立警察も協力し、サイバーセキュリティ企業Lumen Technologiesも調査を支援した。
References:
BREAKING: 7,000-Device Proxy Botnet Using IoT, EoL Systems Dismantled in U.S. – Dutch Operation
【編集部解説】
今回の事件は、サイバーセキュリティの世界で長年にわたって存在していた闇の一角が明るみに出た事例です。2004年から約20年間も運営されていたこのプロキシサービスは、サイバー犯罪の匿名化インフラとして機能していました。
特筆すべきは、このボットネットが一般家庭やビジネスで使われている古いルーターを標的にしていた点です。サポート終了(EoL)したデバイスは、メーカーからのセキュリティアップデートが提供されなくなるため、脆弱性が放置されたままになります。これらのデバイスは「TheMoon」マルウェアに感染させられ、知らぬ間に犯罪インフラの一部となっていたのです。
FBIは実際にこの作戦の前日である2025年5月8日に、脆弱なルーターの交換や遠隔管理機能の無効化を促す警告を出していました。これは「Operation Moonlander」と呼ばれる国際的な取り締まり作戦の一環だったと考えられます。
このボットネットの規模については、運営者側は「7,000台以上のプロキシ」を宣伝していましたが、Lumenの調査によれば実際には週平均約1,000台のアクティブなボットが確認されていました。ただし、2024年初頭には88カ国から40,000台以上のボットが確認されていたこともあり、ボットネットの規模は変動していたようです。
このような犯罪プロキシサービスが危険な理由は、サイバー犯罪者に匿名性を提供することで、広告詐欺、DDoS攻撃、ブルートフォース攻撃などの悪意ある活動を容易にするからです。さらに、一般家庭のIPアドレスを経由することで、セキュリティ監視システムの検知を回避しやすくなります。
IoTデバイスの普及が加速する現代において、この事件は私たちに重要な教訓を与えています。家庭内のネットワーク機器も定期的なメンテナンスが必要であり、サポート終了したデバイスは速やかに更新すべきだということです。
また、この事件は国際的な法執行機関の協力体制の成功例でもあります。米国、オランダ、タイの当局が連携し、民間企業のLumen Technologiesも協力して、20年近く続いていた犯罪インフラを解体することができました。
今後も同様の脅威は続くでしょう。特に「モノのインターネット」の時代において、セキュリティ対策が不十分なデバイスは常に犯罪者の標的となります。ユーザーとしては、デバイスの定期的な再起動、セキュリティアップデートの適用、デフォルトパスワードの変更、そしてサポート終了したデバイスの更新といった基本的な対策を怠らないことが重要です。
この事件は、デジタル世界の「掃除」がいかに重要かを改めて示しています。私たちが日常的に使用するデバイスが、知らぬ間に犯罪インフラの一部となっていた可能性があるのです。テクノロジーの進化とともに、セキュリティ意識も高めていく必要があるでしょう。
【用語解説】
IoT(Internet of Things):
家電や防犯カメラなど、インターネットに接続される様々な「モノ」のこと。スマート家電やスマートホームデバイスが代表例である。
EoL(End-of-Life):
製品のライフサイクルの最終段階を指し、メーカーによる製造が終了した状態。製品は引き続き使用できるが、新規販売はされず、セキュリティアップデートなどのサポートが終了または制限される。
ボットネット:
マルウェアに感染した多数のコンピュータやデバイスが、遠隔操作によって一つのネットワークとして機能する状態。犯罪者はこれを利用して様々な不正活動を行う。
プロキシサーバー:
インターネット通信の中継役となるサーバー。正規の用途では通信の高速化やセキュリティ向上に使われるが、悪用されると匿名での不正アクセスを可能にする。
TheMoon:
2014年に初めて確認されたマルウェアで、主にルーターを標的とする。パスワード不要で感染を広げ、感染デバイスをボットネットに組み込む。
C2(Command and Control)サーバー:
ボットネットを遠隔操作するための指令サーバー。感染デバイスはこのサーバーから指示を受け取り、様々な不正活動を実行する。
【参考リンク】
Lumen Technologies(ルーメン・テクノロジーズ)(外部)
グローバルなネットワークソリューションプロバイダー。今回のボットネット調査・解体に協力した企業。
Black Lotus Labs(外部)
Lumen Technologiesのサイバー脅威研究・インテリジェンス部門。TheMoonマルウェアの調査を実施。
5socks.net(外部)
今回解体された犯罪プロキシサービスの一つ。7年以上にわたり世界中に約4,000台のプロキシサーバーを提供。
anyproxy.net(外部)
5socks.netと同様に今回解体された犯罪プロキシサービス。同じボットネットインフラを使用。
【参考動画】
【編集部後記】
ご自宅のルーターやIoTデバイス、最後にアップデートしたのはいつでしょうか? 古いデバイスが知らぬ間に犯罪インフラの一部になっているかもしれません。週末の数分でできる「デジタル掃除」として、ルーターの再起動やファームウェア更新を試してみませんか? また、家庭内のどのデバイスがインターネットに接続されているか把握することも大切です。セキュリティは複雑に感じますが、小さな一歩から始められます。みなさんのデジタルライフを守るヒントを、これからもお届けしていきます。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
