Kimwolfボットネット、200万台超のAndroid端末に感染　DDoS攻撃や帯域幅悪用に利用

Kimwolfボットネットの拡散と影響

「Kimwolf」と呼ばれる悪性ボットネットが、200万台を超えるAndroid端末に感染していたことが判明した。
本ボットネットは主に住宅用プロキシネットワークを介して拡散しており、**Synthient**の観測によれば、感染に関与したユニークIPアドレスは週あたり約1,200万件に上るという。
感染は、Android Debug Bridge（ADB）サービスが外部に露出した端末を主な標的としており、ベトナム、ブラジル、インド、サウジアラビアなどで集中して確認されている。

Kimwolfの運用手法と攻撃の特徴

Kimwolfは、感染した端末を利用して悪性トラフィックの中継や大規模な分散型サービス拒否（DDoS）攻撃を実行している。
特に高価格帯のAndroid TVセットトップボックスを装いながら、実際には低価格の非公式デバイスが主な感染対象となっている点が特徴だ。
これらの端末では、ユーザーに対してプロキシノードとして動作させるためのソフトウェアをインストールさせる仕組みが確認されている。

中国拠点IPIDEAの関与と影響

中国を拠点とする **IPIDEA**は、Kimwolfボットネットにおける主要な要素の一つとされており、同社が提供するプロキシIPアドレスが拡散に重要な役割を果たしていた。
IPIDEAは2025年12月27日、セキュリティパッチを適用し、ローカルネットワーク機器や複数の高リスクポートへのアクセスを遮断したとされる。
ただし、その後も多数のデバイスで感染が継続して確認されているという。
同社は、世界全体で日次約610万件の更新IPアドレスと、約6万9,000件の新規IPアドレスを提供しているとされている。

感染端末の悪用と収益化の仕組み

Kimwolfは、「Plainproxies Byteconnect SDK」と呼ばれる帯域幅収益化サービスを通じて、感染した端末を悪用している。
このSDKは119のリレーサーバーを介し、コマンド・アンド・コントロール（C2）サーバーから受け取ったプロキシ関連の処理を、感染端末を経由して実行する仕組みとされる。
Kimwolfはこうした手法を用いて収益化を進めており、1GBあたり0.20ドル、あるいは月額1,400ドルで無制限の帯域幅を提供するなど、複数の料金モデルで利益を得ているという。

セキュリティ対策と推奨される対応

セキュリティ専門家は、プロキシ提供事業者に対し、個人ネットワーク向けに定義されたRFC 1918アドレス宛てのリクエストを遮断する対応を推奨している。
また、組織に対しては、認証されていないADBシェルが実行可能な状態にある端末を特定・ロックし、不正アクセスを防止する措置が必要だと指摘している。
Kimwolfのようなボットネットの拡散を抑止するには、より厳格なセキュリティチェックの実施と、事前の予防策を含む多層的な対策が求められている。