国際的な法執行機関が連携し、世界中の住宅用ルーターを乗っ取り、大規模な詐欺行為に悪用していたプロキシボットネット「SocksEscort」を壊滅させました。この作戦により、サイバー犯罪の温床となっていたインフラが破壊され、数百万ドル規模の被害が食い止められたと報じられています。
SocksEscortは、一般家庭や中小企業のインターネットルーターにマルウェアを感染させ、それらのデバイスを犯罪者のための匿名プロキシとして提供していました。これにより、犯罪者は自身のIPアドレスや所在地を隠蔽し、正規の通信に紛れて悪質な活動を行うことが可能になっていました。
世界を股にかけた大規模な犯罪インフラ
米国司法省の発表によると、SocksEscortは2020年夏から活動を開始し、163カ国、約369,000もの異なるIPアドレスへのアクセスを販売していました。2026年2月時点では、約8,000台の感染ルーターがサービスにリストアップされており、そのうち2,500台は米国に所在していました。
SocksEscortのウェブサイトでは、「無制限の帯域幅を持つ静的住宅IP」を謳い、スパムブロックリストを回避できると宣伝。30個のプロキシセットが月額15ドル、5,000個のプロキシパッケージが月額200ドルで販売されていたとされています。
被害の実態と国際的な連携「Operation Lightning」
SocksEscortを悪用した詐欺スキームによる被害は甚大です。ニューヨーク在住の仮想通貨取引所顧客が100万ドル相当の仮想通貨を詐取されたほか、ペンシルベニア州の製造業者が70万ドル、米軍関係者がMILITARY STARカードから10万ドルを詐取するなど、具体的な被害事例が報告されています。
欧州刑事警察機構(ユーロポール)は、この国際的な取り組みを「Operation Lightning」と命名。オーストリア、ブルガリア、フランス、ドイツ、ハンガリー、オランダ、ルーマニア、米国の当局が参加し、34のドメインと7カ国に設置された23のサーバーをテイクダウン。さらに、350万ドル相当の仮想通貨が凍結されました。
ユーロポールは、これらの乗っ取られたデバイスがランサムウェア攻撃、DDoS攻撃、児童性的虐待資料(CSAM)の配布など、様々な犯罪活動に悪用されていたと指摘しています。
マルウェア「AVrecon」の巧妙な手口
SocksEscortの背後には、「AVrecon」と呼ばれるマルウェアが存在していました。このマルウェアは、2021年5月には既に活動していたとみられ、2025年初頭からは280,000ものIPアドレスを悪用していたと推定されています。
AVreconは、感染したデバイスをSocksEscortの住宅用プロキシに変えるだけでなく、攻撃者制御サーバーへのリモートシェルを確立したり、任意のペイロードをダウンロード・実行するローダーとしても機能します。Cisco、D-Link、Hikvision、Mikrotik、Netgear、TP-Link、Zyxelなど、約1,200モデルのSOHO(小規模オフィス/ホームオフィス)ルーターが標的となっていました。
米国連邦捜査局(FBI)によると、AVreconマルウェアは、リモートコード実行(RCE)やコマンドインジェクションといった重大な脆弱性を悪用してSOHOルーターに感染。さらに、永続的な感染を確実にするため、デバイスの組み込みアップデートメカニズムを利用して、AVreconを含むカスタムファームウェアイメージをフラッシュし、デバイスのアップデート機能を無効化するという巧妙な手口を用いていました。
身近なデバイスが犯罪の踏み台にされないために
今回のSocksEscortの摘発は、身近なインターネット接続機器がサイバー犯罪のインフラとして悪用される現実を浮き彫りにしました。ユーザーが意識しないうちに、自身のルーターが大規模な詐欺や悪質な活動の踏み台にされていた可能性は、決して他人事ではありません。
この事件は、全てのインターネットユーザーに対し、自身のネットワーク環境のセキュリティ意識を高めることの重要性を強く訴えかけています。特に、SOHOルーターを使用している場合は、以下の対策を徹底することが推奨されます。
- ファームウェアの定期的な更新: ルーターのファームウェアを常に最新の状態に保ち、既知の脆弱性を修正する。
- 強固なパスワードの設定: デフォルトのパスワードではなく、複雑で推測されにくいパスワードを設定する。
- 不要なサービスの無効化: ルーターの管理画面から、使用しないポートやサービスを無効にする。
- 不審な通信の監視: 定期的にルーターのログを確認し、不審なアクセスがないかチェックする。
今回の国際的な連携による摘発は、サイバー犯罪に対する強力な抑止力となりますが、攻撃の手口は日々進化しています。私たちユーザー一人ひとりがセキュリティ意識を高め、適切な対策を講じることが、安全なインターネット環境を守るための第一歩となるでしょう。