ニュースに戻る
リサーチ

Kimwolfボットネット、200万台以上のデバイス感染で企業・政府ネットワークに侵入

1分で読めますソース: Krebs on Security
Diagram of Kimwolf botnet infection flow through residential proxies and corporate networks

新たに発見されたIoTボットネット「Kimwolf」が200万台以上のデバイスを感染させ、DDoS攻撃や悪意あるトラフィック中継に悪用。企業・政府ネットワークへの侵入リスクと対策を解説。

Kimwolfボットネット、住宅用プロキシを悪用して企業ネットワークに侵入

新たに特定されたInternet-of-Things(IoT)ボットネットKimwolf」が、世界中で200万台以上のデバイスを感染させ、侵害されたシステムを分散型サービス拒否(DDoS)攻撃や悪意あるトラフィックの中継に悪用しています。調査により、このボットネットが企業や政府のネットワークに alarming な頻度で存在し、ローカルネットワークスキャンを悪用してさらに拡散していることが明らかになりました。

Kimwolfは2025年後半に出現し、住宅用プロキシサービス—特に数百万のプロキシエンドポイントを持つ中国のプロバイダーIPIDEA—を乗っ取ることで急速に拡大しました。攻撃者はこれらのプロキシを悪用し、ローカルネットワーク上のデバイスに悪意あるコマンドを転送し、脆弱なIoTデバイスを系統的にスキャンして感染させています。

技術的詳細:Kimwolfの動作メカニズム

  1. 初期感染経路

    • Kimwolfは主に非公式のAndroid TVストリーミングボックスを標的とし、これらのデバイスには事前にインストールされた住宅用プロキシソフトウェアが含まれており、セキュリティ管理が不十分です。
    • これらのデバイスは、Android TV OSではなく**Android Open Source Project(AOSP)**をベースに構築されており、海賊版コンテンツ用に販売され、プロキシマルウェアが頻繁に含まれています。
    • 感染すると、Kimwolfはデバイスを強制的に悪意あるトラフィックの中継に利用し、広告詐欺、アカウント乗っ取り、コンテンツスクレイピングなどを行います。

  2. ローカルネットワークスキャンによる横方向移動

    • このボットネットは、住宅用プロキシエンドポイント(例:IPIDEA)を悪用して、内部ネットワークをプローブし、追加の脆弱なデバイスを探します。
    • Infobloxの報告によれば、2025年10月以降、**企業顧客の約25%**がKimwolf関連のドメインにクエリを送信しており、スキャンの試みが示されています—ただし、すべてが成功したわけではありません。
    • Synthient(プロキシ追跡スタートアップ)は、大学で33,000の影響を受けたIPと、政府ネットワーク内で8,000のIP(米国および外国の機関を含む)を特定しました。

  3. プロキシサービスを攻撃ベクターとして利用

    • 住宅用プロキシは、Webトラフィックの匿名化のために販売されていますが、しばしば悪意あるアプリやゲームにバンドルされ、感染したデバイスを無意識のうちにトラフィック中継に利用します。
    • Spur(別のプロキシ追跡企業)は、Kimwolf関連のプロキシが以下のネットワークに存在することを発見しました:
      • 298の政府ネットワーク(米国国防総省システムを含む)
      • 318の公益事業会社
      • 166の医療機関
      • 141の金融機関
    • 攻撃者は、1台の感染デバイスから同じネットワーク上の他のシステムをプローブし、企業環境に足場を築くことができます。

影響とリスク

  • DDoSと悪意あるトラフィックの増幅:Kimwolfの規模により、大規模なDDoS攻撃が可能となり、サービスやインフラを混乱させます。
  • 企業・政府ネットワークへの侵入企業ネットワークにおけるボットネットの存在は、データ流出、スパイ活動、さらなる横方向移動への懸念を高めています。
  • サプライチェーンの脆弱性プロキシマルウェアが事前にインストールされたセキュリティの低いAndroid TVボックスは、企業環境に持ち込まれるコンシューマー向けIoTデバイスのリスクを浮き彫りにしています。
  • サイバー犯罪のためのプロキシ悪用:住宅用プロキシは脅威アクターにとって有益なツールであり、匿名化された攻撃や詐欺を可能にします。

緩和策と推奨事項

セキュリティチームは、Kimwolf感染を検出し、緩和するために以下の対策を講じるべきです:

  1. ネットワーク監視とDNSフィルタリング

    • 既知のKimwolf関連ドメイン住宅用プロキシIP(例:IPIDEAエンドポイント)をブロックします。
    • 特にAndroid TVボックスからの異常なアウトバウンドトラフィックを監視します。

  2. デバイスの強化

    • 非公式のAndroid TVボックスを企業ネットワークから無効化または除去します。
    • すべてのIoTデバイスがパッチ適用、セグメンテーション、認証されていることを確認し、ネットワークアクセスを許可します。

  3. プロキシサービスの監査

    • 悪意あるアプリを介して感染した可能性のある従業員のデバイス(ノートPC、スマートフォン)上の不正なプロキシソフトウェアをスキャンします。
    • ファイアウォールレベルで住宅用プロキシトラフィックを制限します。

  4. 脅威インテリジェンスの共有

    • Infoblox、Synthient、Spurのレポートを活用し、Kimwolf関連のインフラを特定・ブロックします。

  5. インシデント対応計画

    • Kimwolf感染が検出された場合、横方向移動を前提とし、影響を受けたセグメントを即座に隔離します。

結論

Kimwolfは、IoTボットネットの大きな進化を示しており、住宅用プロキシを悪用した企業・政府ネットワークへのステルス侵入を可能にしています。そのローカルデバイスのスキャンと侵害能力は、セキュリティが不十分なIoTデプロイメントを持つ環境において、持続的な脅威となっています。組織は、このようなボットネットからのリスクを軽減するために、監視、セグメンテーション、プロキシ制御を強化する必要があります。

参考資料:

共有

TwitterLinkedIn