2026年7月2日、Googleの脅威インテリジェンス部門であるGoogle Threat Intelligence Group(GTIG)は、FBIやLumenなどと連携し、レジデンシャルプロキシ網NetNut(別名Popa)に対する一連の対抗措置を実施したと自社ブログで公表しました。同日、米連邦捜査局(FBI)と米国内国歳入庁犯罪捜査部門(IRS-CI)もNetNutに関連する複数のドメインを差し押さえ、これまで表向きは一般消費者向けの通信サービスを提供していたはずのブランドが、実態としては世界で少なくとも200万台のスマートTVやストリーミングボックスを踏み台にした巨大なボットネットだったことが改めて浮き彫りになりました。当サイトでも以前取り上げた家庭のIoT機器を狙うBadbox 2.0や、200万台超のAndroid端末がDDoS攻撃に悪用された事例と地続きにある問題であり、家庭用ネット接続機器の管理がそのまま企業の情報セキュリティにも波及しうることを示す事例として整理します。
サマリー
- Google Threat Intelligence Group(GTIG)は2026年7月2日、FBIやLumen等と連携し、レジデンシャルプロキシ網NetNut(別名Popa)への対抗措置を発表した
- GTIGはNetNutのボットネット規模を世界で少なくとも200万台と推定。スマートTVやストリーミングボックスなど家庭用機器にSDKを配布する形で台数を拡大していたとされる
- 措置の内容は、C2(指令・制御)に使われていたGoogleアカウント・サービスの無効化、NetNutのSDKやバックエンドC2インフラに関する技術情報の業界・法執行機関・研究機関への共有、Google Play ProtectによるNetNut SDK内蔵アプリの自動警告・無効化の3点
- 同日、FBIと米国内国歳入庁犯罪捜査部門(IRS-CI)がnetnut.com・proxyjet.io・divinetworks.comを含む複数のドメインを差し押さえ、該当サイトには押収通知が掲示された
- NetNutはナスダック上場のイスラエル企業Alarum Technologies(ティッカー:ALAR)が運営する商用プロキシブランドで、同社は捜査への協力姿勢を示す一方、ボットネットという表現には従来から異議を唱えている
- GTIGは2026年6月のある1週間だけで、NetNutの出口ノードを使用する316件の異なる脅威クラスタ(サイバー犯罪・スパイ活動グループを含む)を観測したとしている
- NetNutは大規模な再販・ホワイトラベル提供を行っており、GTIGは人気のレジデンシャルプロキシブランドの多くが実質的にNetNutの基盤を再利用していると高い確度で評価。2026年1月のIPIDEA摘発時と同様、事業者が競合のリソースを買い取って再販業者化することで復元力を持つ点への警戒も示している
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年7月2日(Google Cloud Blog、Google Threat Intelligence Group名義) |
| 対象 | レジデンシャルプロキシ網NetNut(別名Popa) |
| 運営元 | Alarum Technologies(イスラエル、ナスダック上場、ティッカーALAR) |
| 推定感染台数 | 少なくとも200万台(世界中のスマートTV・ストリーミングボックス等) |
| Googleの対応 | C2用Googleアカウント・サービスの無効化、SDK・C2情報の共有、Play ProtectによるSDK内蔵アプリの自動無効化 |
| 法執行機関の対応 | FBI・IRS-CIがnetnut.com・proxyjet.io・divinetworks.com等のドメインを差し押さえ |
| 悪用実態 | 2026年6月のある1週間で316件の脅威クラスタが出口ノードとして使用(サイバー犯罪・スパイ活動含む) |
| 関連する過去の摘発 | 2026年1月のIPIDEA摘発、2025年7月のBadbox 2.0運営者への提訴 |
目次
何が起きたか
今回の一件は、Googleが単独で発表したものではなく、法執行機関を含む複数の組織が同じタイミングで動いた協調摘発です。
GTIGが自社ブログで技術的な措置の内容を公表したのとほぼ同時に、FBIとIRS-CIはNetNutに関連するドメイン群を差し押さえ、これらのサイトへアクセスすると連邦機関による押収通知が表示される状態になりました。差し押さえの対象には、NetNut本体のドメインに加えて、姉妹ブランドとされるproxyjet.io、そしてISP経由の静的レジデンシャルプロキシをNetNutへ供給していたとされるdivinetworks.comも含まれています。Krebs on Securityなど複数の海外メディアの報道によれば、NetNutの運営元はナスダック上場企業のAlarum Technologiesであり、同社の法務担当者は捜査への全面協力を表明する一方、自社のサービスがボットネットと呼ばれることについては以前から異議を唱えてきたとされています。
GoogleとFBIが講じた3段階の対抗措置
GTIGが公式ブログで説明している対抗措置は大きく3点です。1点目は、NetNutがマルウェアのC2に利用していたGoogleアカウントおよび関連するGoogleサービスの無効化です。Googleの利用規約や許容利用ポリシーに直接違反する行為だったとして措置を取ったとしています。2点目は、NetNutのSDKやバックエンドのC2インフラに関する技術情報を、他のプラットフォーム事業者・法執行機関・セキュリティ研究機関へ共有したことです。1社だけの対応では業界全体としての効果が限定的になるため、エコシステム全体での認知と対処を促す狙いがあったと説明されています。3点目が、AndroidのGoogle Play ProtectによるNetNut SDK内蔵アプリの自動検知・無効化です。既にインストールされているアプリを警告・無効化するだけでなく、今後同種のSDKを含むアプリのインストールも継続的に防ぐ仕組みだとされています。
これに法執行機関側の動きが重なりました。FBIとIRS-CIによるドメイン差し押さえは、NetNutの正規の窓口となっていたWebサイトそのものを機能停止に追い込む効果を持ちます。GTIGはこれらの対応を総合した結果として、NetNutが提供できる端末プールを数百万台規模で押し下げる、相応の事業的打撃を与えられたとの見方を示しています。
NetNutの実態-家庭用機器を狙う感染経路とAlarumとの関係
レジデンシャルプロキシ網は、インターネットサービスプロバイダーが割り当てた住宅用のIPアドレスを経由して通信を中継できることを売りにするサービスです。
攻撃者からすると、データセンター由来の通信としてブロックされやすい経路ではなく、ごく普通の家庭からのアクセスに見える経路で攻撃トラフィックを流せることに価値があります。この仕組みを成立させるには、事業者が住宅用IPアドレスを大量に確保する必要があり、そのために家庭用機器へ気づかれないままコードを常駐させる手法が使われてきました。GTIGの説明によれば、NetNutは主にスマートTVやストリーミングボックスといった家庭でよく使われる機器にSDKを配布する形でボットネットを拡大しており、購入時点で既にマルウェアが組み込まれている機器や、利用者が気づかずインストールしたアプリを通じて感染するケースの双方が確認されているとのことです。GTIGはさらに、大規模ボットネットであるBadbox 2.0向けのプラグインコンポーネントもNetNutの中に見つかったと述べており、当サイトで以前紹介したBadbox 2.0の被害実態とも接点があることが分かります。
海外のセキュリティ研究機関であるSynthient・Spur・Nokia Deepfieldなどの報告でも、NetNutを介して端末がMirai系のDDoSボットネットに感染させられている実態が確認されているとGTIGは指摘しています。ネットワークエンジニアとして家庭用ルーターやIoT機器のトラフィックを見てきた経験から言えば、家庭用機器が出口ノードになってしまうと、その機器を経由する形で同じ家庭内ネットワーク上の他の私物端末にも外部からアクセスされうる状態になる点が特に見過ごされがちなリスクです。単に自分の回線が他人の攻撃に利用されるだけでなく、自宅のネットワーク全体が外部の脅威にさらされる形になるということです。
原因は緩い本人確認と再販モデルにある
これほどの規模までNetNutが拡大できた背景には、事業構造そのものに起因する要因があります。海外メディアの報道では、NetNutが顧客の本人確認(KYC)を十分に行っておらず、実名を明かさない利用者でもプロキシ網を購入・運用できる状態だったことが指摘されています。加えてNetNutは自社ブランドでの直接販売だけでなく、他社が同じ基盤を自社ブランドとして再販できるホワイトラベルの仕組みを大規模に展開していたとされ、GTIGは市場に流通している人気のレジデンシャルプロキシブランドの多くが、実質的にはNetNutの基盤を借りているだけの存在である可能性が高いと評価しています。
このことは今回の摘発の効果を考えるうえでも重要な意味を持ちます。GTIGは2026年1月に実施したIPIDEAというレジデンシャルプロキシ網の摘発の際にも、事業者側が競合の空いた容量を買い取って自らが再販業者に回ることで、見かけ上の耐性を示したと振り返っています。今回のNetNutについても同様に、単発の摘発だけでは根本的な解決に至らない可能性を認めており、相互に絡み合った複数の事業者の基盤を同時に狙う必要があるとの見解を示しています。
情報システム部門への示唆
今回の一件は、消費者向けの被害にとどまらず、企業のセキュリティ監視の観点でも見過ごせない要素を含んでいます。GTIGは2026年6月のある1週間だけで、NetNutの出口ノードを利用する316件の異なる脅威クラスタを観測したとしており、その中にはサイバー犯罪グループだけでなくスパイ活動を行うグループも含まれていたとされています。攻撃者はNetNutを経由することで、被害環境へのアクセス時や、自らのインフラへのアクセス時に発信元IPアドレスを隠したり、パスワードスプレー攻撃を行ったりしていたと説明されています。データセンター由来のIPアドレスを機械的にブロックするだけの検知ルールでは、こうした住宅用IPアドレス経由の通信を見逃してしまう可能性がある点は、あらためて認識しておく必要があります。当サイトでは以前、ShinyHuntersによるビッシングを起点としたSaaS不正アクセスを取り上げた際にも、商用VPNやレジデンシャルプロキシ基盤の一つとしてNetNutの名前が挙がっていたことに触れましたが、今回の摘発でその実態の一端が改めて裏付けられた形です。
実務的な対応としては、まず自組織のログ監視やSIEMの検知ルールが、データセンター由来のIPアドレスだけでなく住宅用IPアドレス経由の異常なアクセスパターン(短期間での多数アカウントへのログイン試行、地理的に不自然な移動を伴うログインなど)も拾える設計になっているかを見直すことをお勧めします。あわせて、リモートワークで従業員が自宅のネットワークを業務に利用している場合、自宅に置かれた格安のストリーミングボックスやスマートTVが感染源になっていないかという観点も無視できません。Google Play Protectが有効になっているか、Android TV認証済みの機器を利用しているかを社内のIT資産管理やBYODガイドラインの中で案内しておくことも、地味ながら有効な対策の一つになるはずです。
出典
- Google’s Continued Disruption of Malicious Residential Proxy Networks – Google Cloud Blog(Google Threat Intelligence Group、一次ソース)
- FBI Seizes NetNut Proxy Platform, Popa Botnet – Krebs on Security
- NetNut proxy network disrupted, 2 million infected devices cut off – BleepingComputer
- Google, FBI Disrupt NetNut Residential Proxy Network Powered by Millions of Devices – SecurityWeek
- FBI, Google Take Down NetNut Proxy Network Used by Cyber Threat Actors – Infosecurity Magazine
- FBI and Google Disrupt NetNut Botnet That Rented 2 Million Home Devices to Spies – Tech Times
- The FBI & Google Disrupt NetNut’s Residential Proxy Network – Proxyway
- Google Disrupts NetNut Residential Proxy Network Used in Malware Operations – CyberPress
- BADBOX 2.0-家庭のIoT機器がサイバー犯罪の踏み台に – セキュリティ対策Lab
- 200万台以上のスマートテレビがDDoS攻撃の踏み台に悪用 – セキュリティ対策Lab
- Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス – セキュリティ対策Lab








