あなたのスマホやルーターも、ひそかに貸し出された1700万台の一つだったかもしれない

ボットネットは、必ずしもスマホを重くしたり画面を広告で埋め尽くしたりして正体を現すわけではない。オランダ警察がたった今停止させた網は、普通の持ち主が気づくようなことをほとんど何もしていなかった。それは1700万台を超える機器、つまりパソコン、スマホ、タブレット、家庭用ルーター、ネットにつながった家電のごくわずかな能力を静かに借り、その回線を見知らぬ他人に貸し出していた。もしその一台があなたのものだったなら、二度と出会うことのない誰かが、何カ月もあなたの自宅回線を使ってサイトを閲覧し、データを収集し、あるいは攻撃を仕掛けていたかもしれない。

オランダ国家警察と同国の国家サイバーセキュリティセンターは、オランダ国内のホスティング事業者から約200台のサーバーを押収したうえで運用を止めた。捜査当局はこの網を「住宅用プロキシ」サービスだと説明する。ある者の通信を別の者の本物の家庭用機器を経由させ、ごく普通の家庭からの閲覧に見せかける仕組みだ。この偽装こそが商品そのものである。本物の住宅アドレスから来たように見える通信は、既知のデータセンターのサーバーなら即座に弾く不正検知フィルターをすり抜ける。だからこそ住宅用プロキシは、広告主にもデータ収集業者にも、そして犯罪者にも等しく重宝される。

オランダの報道はこの基盤を、住宅用と携帯用のプロキシ接続を商業的に販売する、ロシアに拠点を置く企業ASOCKSに結びつけている。表向き、ASOCKSはごく普通の定額サービスに見える。問題は、その「住宅用」接続がどこから来るのかだ。セキュリティ研究者は何年も前から、この種の網を支える機器の多くが本人の意思で登録されたものではなく、持ち主は自分の通信帯域が売られていることを知らなかったと警告してきた。

機器はいくつかの方法で取り込まれたが、そのほとんどは無料ソフトへの誤った信頼に行き着く。ある人は無料アプリ、壁紙ツール、スマホ用ユーティリティ、あるいは非公式VPNを入れたが、それが裏でこっそりプロキシソフトを抱き合わせていた。Androidでは、アプリ開発者が自社製品に組み込んだ開発キットの中に潜むPROXYLIBというコードライブラリが、断りもなくスマホをプロキシの中継点として登録していた。別の端末は、同じ機能を直接導入するマルウェアに感染した。いずれの場合も、機器は普段どおり動き続け、その回線は誰か他人のために働いていた。

いったんプールに加われば、その機器の回線は、無害な家庭ユーザーに見えることで得をするほぼあらゆる用途に使えた。オランダ当局によれば、この網はフィッシング、迷惑メール、オンラインサービスを停止させるサービス妨害攻撃、総当たりと認証情報の使い回しによるログイン試行、クリック詐欺、そして高額な有料メッセージ経由で静かに金を抜くSMSポンピングを支えていた。乗っ取られたルーター一台では大したことはできない。だが1700万台を束ねれば、それは立派な基盤になる。

摘発は本物だが、治療ではない。警察は網を統括するサーバーを押収したが、ASOCKSのサイトはその後もなお接続でき、背後の事業がどれだけ実際に壊されたのかは不明のままだ。指令サーバーを落としても1700万台が自動的に浄化されるわけではない。同梱されたプロキシのコードやマルウェアは、新たな運用者が拾い上げるまで、スマホやルーターの中に手つかずのまま居座りうるからだ。さらに、住宅用プロキシの悪用は一企業ではなく市場である。一つの網を潰しても需要は次へ移る。広告検証会社からウェブを巡回するAI企業まで、本物のアドレスへの正当な需要がこのモデルを儲かるものにし続けているからだ。

規模を示すと、1700万台という数字はこの網を、これまでに遮断された最大級のプロキシ網の一つに位置づける。一つのウイルスを広めて見出しを飾る多くのマルウェア型ボットネットよりはるかに大きい。ただしランサムウェア感染と違い、はっきりした症状はめったに出ない。手がかりはむしろありふれている。理由もなく熱を持ったり再起動したりするルーター、しょっちゅうデータ上限にぶつかる自宅の契約、実際の使い方に合わないバッテリーやデータの減り方をするスマホ、あるいはアドレスを怪しいと見なされ、何度もキャプチャを解かされるサイト。

感染した機器は一国に集中せず世界中に散らばっていたため、リスクは地域的なものではない。古びたルーターや、無料ツールを詰め込んだ安価なAndroidスマホを使う人なら、誰でも巻き込まれ得た。実際的な防御策は地味で、よく知られたものばかりだ。ルーターとスマホを更新する、本当に使っていない無料アプリを消す、公式ストア外で入手したソフトや、ただより高いものを約束する非公式VPNを避ける、そして何年も手つかずで動き続けているルーターを再起動する。

この事件は、あるセキュリティ研究者がサイバーセキュリティセンターに不審なプロキシ活動を通報したことから始まった。オランダ当局は、押収したサーバーの分析が続いており、今のところ逮捕は発表されていないとしている。この件がはっきりさせたのは、機器の経済圏にいまや「あなたの通信帯域」という闇市場が含まれているということだ。次にアプリが無料だったとき、売られている商品は、あなたがすでに料金を払っているそのインターネット回線かもしれない。