2026年7月2日から3日にかけて、FBI、米国国税庁(IRS犯罪捜査部)、およびGoogle脅威情報グループは共同でNetNutを排除しました。これは、世界最大級のレジデンシャルプロキシネットワークの一つです。 「合法的なプロバイダー」という美しい看板の裏には、200万以上のハッキングされた家庭用デバイス(スマートTV、セットトップボックス、Androidデバイス)からなるPopaボットネットが隠れていました。これは、半年間での市場の大手プレイヤーの公然とした壊滅の二度目であり、正当なレジデンシャルプロキシと犯罪インフラストラクチャーとの間に明確な境界線を引くものです。
何が起こったのか
7月2日、Google脅威情報グループ(GTIG)は、NetNutがボットネットを管理するために使用していたGoogleアカウントとサービスを無効にしました。同時に、FBIはIRS犯罪捜査部と共同で、ネットワークに関連する数百のドメインを押収しました。主なドメインnetnut.comは現在、FBIの押収通知にリダイレクトされており、netnut.ioのドメインは、特徴的なns1.fbi.seized.govにDNSサーバーを変更しました。関連ブランドであるproxyjet.ioとdivinetworks.comも押収されました。
NetNutの背後には、公開されているイスラエルの企業Alarum Technologies Ltd(NASDAQ: ALAR)が存在します。つまり、これは地下組織ではなく、上場企業のビジネスです。会社の弁護士オマー・ワイスは、「Alarumはこの状況を真剣に受け止めており、インフラストラクチャーの悪用が徹底的に調査されるよう、法執行機関と完全に協力する」と述べました。
Googleの評価によれば、調整された行動は「NetNutプロキシネットワークとそのビジネスに対して重大な損害を与え、オペレーターの利用可能なデバイスプールを数百万台減少させた」とのことです。これは典型的なシナリオで、2026年1月にはGoogleが同様の方法で競合ネットワークIPIDEAを壊滅させました。
200万台のテレビからなるボットネットが「レジデンシャルプロキシ」として振る舞った方法
Popaボットネットは少なくとも2020年から活動していました。デバイスは以下の3つの方法でネットワークに取り込まれました:
- トロイの木馬アプリケーション。 ユーザーは一見無害なIPTV、ストリーミング、そして「ユーティリティ」アプリをダウンロードし、その中に隠されたプロキシSDKがありました。これには、NetNutと重複するプラグインを持つ大規模なボットネットBadbox 2.0も含まれます。
- 工場出荷時のプリインストール。 一部の低価格のスマートTVやセットトップボックスは、すでにプロキシコードが埋め込まれた状態で顧客に届けられ、開封後すぐにexit-nodeとなりました。
- 感染したアプリケーションのストア。 問題の規模は非常に大きく、研究者によると、プロキシSDKはLG webOS用アプリの42%とSamsung Tizen用アプリの26%以上を含んでいました。
結果として、数百万の実際の家庭用IPアドレスが生成され、これらは「生きた」ユーザーと区別がつかないものでした。これは市場がプレミアムを支払う理由そのものでした。ただし、これらのテレビの所有者は何も同意せず、報酬も受け取っていませんでした。
1週間で316のグループ:何のために使用されたのか
GTIGの報告書からの最も懸念される数字は、2026年6月の1週間でGoogleが316の個別の脅威クラスターをNetNutのノードを介して記録したことです。これはサイバー犯罪者とスパイ活動に関連するグループの混合でした。主なシナリオは以下の通りです:
- パスワードスプレー攻撃。 攻撃者は盗まれたパスワードや推測されたパスワードを試し、数千の異なるレジデンシャルIPにわたってログイン試行を分散させました。このため、ログイン監視システムはどのソースからも異常な量を検出できず、「1つのIPからの試行回数」に基づくクラシックな保護が機能しなくなります。
- 攻撃時の隠蔽。 レジデンシャルIPは、犠牲者の侵害された環境や攻撃者自身のインフラストラクチャにアクセスする際に、実際の位置を隠しました。
- アカウントの乗っ取り、広告詐欺、大量スクレイピング — 「家庭用」アドレスの下で行われました。
感染したデバイスの所有者にとっての別の危険は、他人のトラフィックがあなたのテレビを通過することがあなたのIPに結びついていることです。あなたの正当なリクエストは、隣接するサービスによって疑わしいものとしてマークされ、ブロックされる可能性があります — 攻撃者は望む場合、あなたの家庭内ネットワークに拠点を得ることができます。
なぜこれがプロキシ市場全体に打撃を与えるのか
NetNutは自社だけでなく、ホワイトラベルモデルでも運営していました。多くの人気のある「ブランド」のレジデンシャルプロキシは、実際には彼のインフラストラクチャを自分の名前で再販していました。GTIGは市場のメカニズムを次のように説明しています:「オペレーターのボットネットが劣化すると、プロキシオペレーターは競合から容量を購入し始め、リセラーに変わる」。つまり、他人の美しい看板の下で、知らず知らずのうちに同じハッキングされたテレビを使用していた可能性があります。
第二のシステム的な失敗は弱いKYCです。インフラストラクチャへのアクセスを購入する際に本名を提供する必要がなく、これが数百の犯罪クラスターの扉を開いたのです。「クリーン」なビジネスの部分も影響を受けました。NetNutには、プロバイダーとの直接契約によるISPプロキシを持つDiviNetworksという部門がありました(これは正当なモデルです)が、ネットワークの壊滅によりすべてが影響を受けました。
正直なユーザーにとっての結論は明確です:IPアドレスの出所は抽象的な「倫理」ではなく、あなたの運用の持続可能性に関わる問題です。ボットネットプロバイダーは一晩で押収される可能性があり、そのアドレスプールは数百の悪意のある者の評判で汚染されており、そのようなネットワークを使用すること自体が法的リスクを伴います。だからこそ、プロキシの種類とその出所の違いを理解することが重要です:レジデンシャルプロキシとモバイルプロキシがどのように機能し、タスクに対して迅速で予測可能なサーバープロキシがどのように十分であるかを理解することが重要です。
正直なレジデンシャルプロキシとボットネットを見分ける方法
NetNutの壊滅は、プロバイダー選択のチェックリストを再構築する良い機会です。注目すべき点は:
- IPの透明な出所。 正当なレジデンシャルおよびISPアドレスは、プロバイダーとの直接契約または実際の補償に対するユーザーの明示的な同意を通じて取得されます。プロバイダーがプールの出所について曖昧である場合、それは赤信号です。
- 「未使用のトラフィックに対する報酬」はなし。 Googleは「インターネットの共有」や「未使用の帯域幅」に対して支払うアプリを避けるよう明言しています。これはボットネットプロキシの主要な感染経路です。あなたのプロキシネットワークがそのようなアプリから供給されている場合、あなたは問題の一部です。
- 実際のKYCと利用規約。 あなたが誰で、何のためにいるのかを全く尋ねないプロバイダーは、あなたにも、パスワードスプレーグループにも同様にアクセスを販売することが容易です。
- プールの持続可能性。 数百の攻撃で露出したアドレスは、すぐにアンチフロードシステムのブラックリストに載ります。クリーンで管理されたプールは、ボットネットがすでに焼かれた場所でより安定して通過します。
私たちはすでに感染したデバイスの視点からそのような影のネットワークがどのように機能するかを詳しく説明しました。スマートTVがレジデンシャルプロキシの出口ノードとして機能するという資料で、NetNutの歴史はまさにそのシナリオであり、FBIの令状で論理的な結末に達しました。
実際に何が変わるのか
ウェブスクレイピング、マルチアカウント、SMM自動化、または単に地理的制限を回避するチームにとって、主な信号は次のとおりです:レジデンシャルプロキシ市場は痛みを伴う「浄化」を経ています。半年間で、2つの大規模なネットワーク(IPIDEAが1月、NetNutが7月)が公然と壊滅し、GoogleはC2インフラストラクチャを体系的に無効にし、Play Protectを通じてユーザーに警告を発しています。「どこからともなく来た安価なレジデンシャル」は、利益の出ない取引ではなく、時限爆弾です:ネットワークは無効にされ、プールは汚染され、犯罪トラフィックとの接続が評判や法的リスクを生み出します。
プロキシをインフラストラクチャとして扱い、グレーな消耗品としてではなく、透明なプロバイダーを選び、アドレスの出所を理解し、各タスクに適したタイプを選ぶことが勝者となります。レジデンシャルが「生きた」IPを必要とする場所、モバイルが最も敏感なプラットフォームに、サーバーが速度と価格が重要な場所で必要です。市場の浄化は一時的には不快ですが、長期的には正直な仕事をより持続可能にし、テレビを所有者に戻します。
