ニュースに戻る
リサーチ

Badbox 2.0ボットネットの運営者を特定:中国関連サイバー脅威の主要人物

1分で読めますソース: Krebs on Security
Diagram of Badbox 2.0 botnet control panel showing authorized user emails and connections to Chinese operators

サイバーセキュリティ研究者が、1,000万台以上のAndroid TVストリーミングデバイスに感染する中国発のBadbox 2.0ボットネットの主要運営者を特定。FBIとGoogleが調査中。

サイバー犯罪者の自慢から露見したボットネット運営者

サイバーセキュリティ研究者は、Badbox 2.0ボットネットの運営に関与している可能性が高い主要人物を特定した。この中国発のサイバー脅威は、1,000万台以上のAndroid TVストリーミングデバイスに感染している。この突破口は、Kimwolfボットネットの運営者がBadbox 2.0のコントロールパネルのスクリーンショットを共有したことから得られた。Kimwolfボットネットは別のマルウェアネットワークだが、同様に破壊的な活動を行っており、このスクリーンショットにより不正アクセスが露見し、Badbox 2.0の管理者に関する重要な詳細が明らかになった。

FBIGoogleは現在、Badbox 2.0の調査を積極的に進めている。このボットネットは、消費者の手に渡る前にAndroid TVボックスに悪意のあるソフトウェアをプリインストールする。また、非公式のアプリマーケットプレイスを通じて拡散し、広告詐欺や家庭内ネットワークへのバックドアアクセスを可能にしている。

技術的詳細:Badbox 2.0の動作メカニズム

Badbox 2.0は、2024年に壊滅的な打撃を受けたオリジナルのBadboxキャンペーンの後継である。前身とは異なり、Badbox 2.0はAndroid TVボックスだけでなく、その影響範囲を拡大している。

  • 購入前のデバイス感染:マルウェアはファームウェアに埋め込まれ、工場出荷時のリセット後も持続する。
  • 非公式アプリストアの悪用:ユーザーはセットアップ中に知らずに悪意のあるアプリをダウンロードする。
  • 大規模な広告詐欺:侵害されたデバイスが不正な広告インプレッションを生成し、広告主に数百万ドルの損失を与える。

Kimwolfボットネットは、200万台以上のデバイスに感染しており、最近Badbox 2.0のインフラストラクチャを乗っ取る能力を示した。Kimwolfの運営者は、**「Dort」「Snow」**というエイリアスで知られており、Badbox 2.0のコントロールパネルに自分のメールアドレス(ABCD)を追加した。これは、ボットネットのコマンド&コントロール(C2)システムの統合または乗っ取りの可能性を示唆している。

Badbox 2.0に関連する主要人物

Badbox 2.0のコントロールパネルのスクリーンショットのフォレンジック分析により、7人の認証ユーザーが明らかになった。その中には以下の人物が含まれる。

  1. 陳代海(Chen Daihai)

    • メールアドレス:34557257@qq.com(エイリアス:Chen
    • 北京弘大科王科技有限公司および北京墨新科技有限公司との関連が確認されている。
    • Badbox 2.0に関連するドメイン:asmeisvip[.]netmoyix[.]comvmud[.]net
    • パスワードの使い回し(cdh76111)がcathead@gmail.comおよびdaihaic@gmail.comと関連付けられている。

  2. 朱志宇(Zhu Zhiyu)

    • メールアドレス:xavierzhu@qq.com(エイリアス:Mr.Zhu
    • 北京亚讯无线数码科技有限公司の共同創業者。
    • ドメイン登録にはastrolink[.]cnが含まれ、これもBadbox 2.0に関連している。

  3. 黄桂林(Huang Guilin)

    • メールアドレス:189308024@qq.com(エイリアス:admin
    • guilincloud[.]cnおよび電話番号18681627767との関連が確認されている。
    • 中国のソーシャルメディアではh_guilinというユーザー名で活動している。

残りの4人のユーザーはすべてqq.comのメールアドレスに紐づいているが、明確な企業関係は確認されておらず、調査への回答も得られていない。

影響と法的リスク

Badbox 2.0の規模と高度な手口は、以下のような重大なリスクをもたらしている。

  • 消費者のプライバシー:侵害されたデバイスは、Wi-Fi認証情報や閲覧履歴などの個人データを流出させる可能性がある。
  • ネットワークセキュリティ:感染したデバイスは、家庭や企業のネットワークに対するさらなる攻撃のゲートウェイとして機能する。
  • 金融詐欺:広告詐欺スキームにより、正規の広告主から収益が吸い上げられる。

2025年7月、Googleは25人の未特定被告に対して**「ジョン・ドウ」訴訟を提起し、彼らがBadbox 2.0を利益目的で運営していたと主張した。また、FBIは2025年6月のアドバイザリー**で、プリインストールされた感染デバイスについて警告し、消費者に非公式のAndroid TVボックスの使用を避けるよう呼びかけた。

Kimwolfの不正アクセス:状況を一変させた出来事

Kimwolfの運営者は、住宅用プロキシプロバイダーがシステムの脆弱性を修正した後に、Badbox 2.0のインフラストラクチャを悪用した。調査関係者の話によれば:

「DortはBadboxのコントロールパネルに不正アクセスした。Badboxはプロキシを販売していないため、パッチが適用されておらず、KimwolfはBadboxに感染したデバイスに直接マルウェアをロードすることができた。」

アクセス方法は不明だが、ABCDアカウント(Dortに関連)は、調査員がBadbox 2.0パネルの全ユーザーに侵害を通知したため、存続は難しいと見られる。

セキュリティチーム向けの推奨事項

  1. デバイス監査:ネットワークから非公式のAndroid TVボックスを特定し、除去する。
  2. ファームウェアの検証:デバイスがベンダー署名のファームウェアを実行していることを確認し、プリインストールされたマルウェアを防ぐ。
  3. ネットワークのセグメンテーション:IoTデバイスを分離し、侵害された場合の横方向の移動を制限する。
  4. 脅威インテリジェンス:Badbox 2.0に関連するドメインやIP(例:asmeisvip[.]netmoyix[.]com)を監視する。
  5. ユーザー教育:従業員や消費者に、非公式アプリストアや海賊版ストリーミングサービスのリスクについて警告する。

結論

陳代海朱志宇がBadbox 2.0の運営者である可能性が高いことが明らかになったことは、Androidデバイスを標的とする最大級のボットネットの一つを解体するための重要な一歩である。法的措置や技術的な対策が進められているが、この事件はサプライチェーン攻撃の持続的な脅威と、IoTデバイスの製造・流通に対するより厳格な監督の必要性を浮き彫りにしている。

共有

TwitterLinkedIn