2025年3月に筆者は、これまでに検出された中で最大級のボットネットの一つが、セットトップボックス(STB)、プロジェクター、タブレットなど100万台以上のAndroid搭載機器に影響を及ぼしていたとする報告について紹介した。その攻撃はかつて「BadBox」によるものとして知られていたが、現在では「BadBox 2.0」が凌駕し、世界222の国と地域において少なくとも数百万台のAndroid機器に感染している。Googleは、ユーザーを保護すべく対策を講じると同時に、攻撃者に対して法的措置も開始した。FBIは、影響を受けたユーザーに対して、端末をインターネットから切断するよう強く警告している。
FBIやグーグルが安価なAndroid機器への「BadBox 2.0」攻撃を警告
FBIのサイバーセキュリティ警告「I-060525-PSA」の内容は明確だ。現在進行中の攻撃は、セットトップボックス(STB)やスマートTVなどのストリーミング端末、デジタルフォトフレーム、サードパーティ製の車載インフォテインメントシステム、その他の家庭用スマートデバイスを標的にしている。Androidに標準搭載されている保護機能「Google Play プロテクト」認定済みではないAndoroidタブレットも含まれる。これらの製品はいずれも安価で未認証のものが多く、主に中国製である。利用中の機器が認定済みかどうか確認する方法はこちらで、また認定済み機器を提供している企業はこちら(編注:情報が古い可能性がある)で確認できる。
FBIは、「ユーザーの購入前に製品に悪意あるソフトウェアが仕込まれており、攻撃者が家庭内ネットワーク、ひいてはその外部にまでアクセス可能となっている」と警告している。また、設置時に求められる(非公式マーケットプレイスからの)「ソフトウェアアップデート」によって、悪意あるバックドアが追加される可能性もある。
セキュリティ企業Point Wildの脅威インテリジェンスチーム「LAT61」は、BadBox 2.0の感染チェーンをリバースエンジニアリングし、新たな侵害指標(IoC)を発見、これを世界中のコンピュータ緊急対応チーム(CERT)および法執行機関と共有した。
LAT61チームのキラン・ガイクワッドは次のように述べている。「このAndroidベースのマルウェアは、安価なIoT端末、スマートテレビ、TVボックス、タブレットなどのファームウェアに、工場出荷前からプリインストールされています。これらの端末は、ユーザーに気づかれないまま、クリック詐欺、認証情報の詰め込み攻撃、秘匿型のコマンド&コントロール(C2)通信などに悪用される在宅プロキシノードに変えられているのです」。
グーグルは米国時間2025年7月17日、声明の中で「BadBox 2.0の実行者に対し、ニューヨーク連邦地裁に提訴した」と発表した。また、「Google Playプロテクトを更新し、BadBoxに関連するアプリを自動的にブロックするようにした」とも述べている。
BadBox 2.0の初期摘発と対処を主導したHuman Security
BadBox 2.0の脅威を最初に公表・阻止したのは、セキュリティ企業Human Securityの「Satori Threat Intelligence and Research Team」である。同チームは「複数の脅威アクターがBadBox 2.0に関与しており、それぞれがボットネットの基盤インフラや、感染端末を収益化する詐欺モジュール(プログラマティック広告詐欺、クリック詐欺、プロキシジャッキングなど)に関与していた」と分析している。こうした構造により、同ボットネットは世界222の国・地域にわたって展開されていた。
Human Securityの最高経営責任者(CEO)スチュー・ソロモンは、次のように述べている。。
「私たちのチームが特定したBadBox 2.0ボットネットに対し、グーグルが迅速かつ断固とした対応をとったことを称賛します。この摘発は、ユーザーの端末を乗っ取り、金銭を盗み、消費者を知らぬ間に搾取する高度な詐欺行為からインターネットを守る戦いにおいて、大きな前進を意味します。Humanの使命は、大規模なサイバー犯罪を阻止し、デジタルエコシステムの健全性を守ることにあります。この取り組みは、共同防衛の力を体現しています。グーグル、トレンドマイクロ(TrendMicro)、シャドウサーバー・ファウンデーション(Shadowserver Foundation)との緊密な協力により、私たちはこの脅威の解明と解体に大きく貢献することができました」。
また彼は、BadBox次期バージョンの登場を予想している。
