【続報】 2025年6月に米国連邦捜査局(FBI)が警告したBADBOX 2.0ボットネットについて、Googleがニューヨーク連邦裁判所で中国系25団体への提訴に踏み切りました。1000万台のAndroidデバイスが感染するこの史上最大級のボットネット事案は、FBI警告から1か月余りで法的対応段階に突入。4つの専門犯罪グループによる組織的サイバー犯罪の全貌と、裁判所による仮差し止め命令の意義を解説します。
このボットネットは中国製のAndroidオープンソースデバイスを中心に1000万台以上を感染させ、テレビストリーミングデバイス、デジタルプロジェクター、車載インフォテインメントシステム、デジタルフォトフレームなどIoT機器を悪用し大規模な広告詐欺を行っている。感染が多く報告されている地域は米国、ブラジル、メキシコ、アルゼンチンで、ニューヨーク州だけでも17万台以上のデバイスが感染している。
Googleは隠れた広告表示、偽ゲームサイト、検索広告クリック詐欺の3つの手法で収益を不正に得ていると指摘した。裁判所はボットネット停止の仮差し止め命令を発行し、この訴訟はコンピューター詐欺乱用防止法とRICO法違反で提起された。犯罪組織は4つの専門グループ(インフラストラクチャグループ、バックドアマルウェアグループ、イービルツイングループ、アドゲームズグループ)による分業体制で運営されている。
From: 
Google Sues 25 Chinese Entities Over BADBOX 2.0 Botnet Affecting 10M Android Devices
【編集部解説】
今回のGoogleによる法的措置は、6月のFBI警告から約1か月という異例のスピードで実現した画期的な対応です。単なる警告にとどまらず、具体的な法的手段によってサイバー犯罪組織に対抗する新たなモデルケースとなっています。
FBI警告から法廷闘争へのスピード展開
2025年6月5日のFBI警告時点では「数百万台」とされていた感染規模が、7月11日のGoogle提訴時には「1000万台以上」に拡大していることが明らかになりました。わずか1か月余りで感染規模が3倍以上に膨れ上がったことは、BADBOX 2.0の拡散スピードの深刻さを物語っています。
特に注目すべきは、Googleが単独での法的措置に踏み切った点です。通常、このような国際的サイバー犯罪事案では政府機関主導の対応が一般的ですが、今回は民間企業が主体となって法的対応を主導する新しいパターンを示しています。
犯罪組織構造の詳細解明
前回の記事では4つの犯罪グループ(SalesTracker、MoYu、Lemon、LongTV)として紹介しましたが、今回の訴訟により機能別の分業体制がより明確になりました。インフラストラクチャグループ、バックドアマルウェアグループ、イービルツイングループ、アドゲームズグループという専門化された組織構造は、サイバー犯罪の「企業化」を示す重要な証拠となっています。
この分業体制により、各グループが自身の専門分野に特化することで効率性と規模の両立を実現し、従来のサイバー犯罪を遥かに上回る組織的運営が可能になっています。
広告詐欺の具体的手法の全貌
今回の訴訟で明らかになったのは、3つの精巧な広告詐欺手法です。隠れた広告レンダリング、ウェブベースのゲームサイト、検索広告クリック詐欺という多角的なアプローチにより、Googleの広告エコシステム全体を標的とした包括的な攻撃が展開されていました。
特に「イービルツイン」手法は、Google Play Storeで配布される正規アプリの偽版を作成し、ユーザーを騙して感染を拡大させる巧妙な仕組みです。これにより、ユーザーは自らの意思で感染アプリをダウンロードすることになり、従来のセキュリティ対策では検知が困難になっています。
法的措置の実効性と限界
裁判所による仮差し止め命令は、ボットネットの運営停止とインフラ解体を命じる強力な措置です。しかし、被告が中国にいることから実際の身柄確保は困難であり、主要な効果はインフラの無力化に限定される可能性があります。
それでも、100以上のC2ドメインの遮断や第三者プロバイダーへの協力義務化により、ボットネットの運営継続を困難にする効果は期待できます。これは、技術的対応だけでは限界のあるサイバー犯罪対策に、法的手段という新たな選択肢を提示した意義深い事例となるでしょう。
グローバルサイバーセキュリティ戦略への影響
今回のケースは、大手テック企業による積極的な法的対応が他社にも波及する可能性を示しています。Microsoft、Apple、Metaなど他の主要プラットフォーム事業者も、類似の法的措置を検討する契機となるかもしれません。
また、民間企業主導のサイバー犯罪対策が政府機関との連携を深める新たなモデルとしても注目されます。FBI警告とGoogle提訴の連続した動きは、官民連携によるサイバーセキュリティ対策の進化を象徴的に示しています。
IoT業界への長期的インパクト
BADBOX 2.0事件は、IoTデバイス製造における責任の所在を明確化する契機となる可能性があります。製造段階でのマルウェア感染という従来想定されていなかったリスクが現実化したことで、業界全体でのセキュリティ基準見直しが加速するでしょう。
特に、極端に安価なAndroid Open Source Projectデバイスの市場規制強化や、Google Play Protect認証の義務化といった制度的対応が各国で検討される可能性があります。これは短期的にはデバイス価格の上昇をもたらすかもしれませんが、長期的にはIoTエコシステム全体の信頼性向上に寄与すると考えられます。
【用語解説】
ボットネット
複数の感染端末が遠隔操作されるネットワークで、攻撃や不正活動に利用される。感染したデバイスが「ボット」として機能し、犯罪者の指令に従って動作する。
バックドアマルウェア
感染端末に不正アクセスを可能にするマルウェア。正規の認証を回避して端末を遠隔操作できる「裏口」を作成する。
コマンド・アンド・コントロール(C2)
ボットネットを操作するための指令サーバーや通信の仕組み。感染端末に指示を送信し、攻撃活動を統制する中央制御システム。
Android Open Source Project(AOSP)
Googleが開発するオープンソース版Android。Google Play Protectなどのセキュリティ機能を持たない基本的なAndroid環境。
RICO法
組織犯罪取締法(Racketeer Influenced and Corrupt Organizations Act)の略。組織的な犯罪活動を対象とした米国の連邦法。
コンピューター詐欺乱用防止法(CFAA)
Computer Fraud and Abuse Actの略。米国のコンピューター関連犯罪を規制する連邦法。
【参考リンク】
Google Play Protect(外部)
Androidに組み込まれたマルウェア保護機能。自動で危険なアプリを検知し防止する。
HUMAN Security(外部)
BADBOX 2.0の分析に関わったサイバーセキュリティ企業。脅威情報やボット対策を提供する。
FBI インターネット犯罪苦情センター(外部)
BADBOX 2.0に関するFBIの公式警告文書を掲載。IoTデバイスのセキュリティ対策を提示している。
【参考記事】
Google Taking Legal Action Against the BadBox 2.0 Botnet(外部)
GoogleによるBADBOX 2.0の詳細情報と法的措置の説明。感染デバイスの種類や広告詐欺の手口などを解説。
Google Sues Operators of 10-Million-Device Badbox 2.0 Botnet(外部)
Security WeekによるBADBOX 2.0の技術分析と法的措置の詳細。複数の専門犯罪グループによる分業体制を報告。
Google sues to disrupt BadBox 2.0 botnet infecting 10 million devices(外部)
Bleeping ComputerによるBADBOX 2.0の技術詳細と3つの広告詐欺手法の解説。
Google sues 25 alleged BadBox 2.0 botnet operators(外部)
The RegisterによるBADBOX 2.0訴訟の法的側面の分析。企業構造と各専門グループの役割を詳細に解説。
Google lawsuit targets operators of ‘BADBOX 2.0’ in major botnet disruption(外部)
ThreatLockerによるBADBOX 2.0事件の業界専門家の分析。Googleの法的戦略と市場への影響を解説。
【編集部後記】
6月にFBI警告をお伝えしたBADBOX 2.0が、わずか1か月余りで法廷闘争に発展する事態となりました。感染規模も「数百万台」から「1000万台以上」へと急拡大しており、この問題の深刻さを改めて実感しています。
特に印象的なのは、Googleが単独で法的措置に踏み切った決断力です。通常、国際的なサイバー犯罪案件では政府機関の動きを待つことが多い中で、民間企業が主導的な役割を果たす新しいパターンを示しました。これは、サイバーセキュリティ分野における「民間主導」の時代の幕開けを予感させます。
皆さんは6月の記事をご覧になって、ご自宅のデバイスをチェックされましたか?今回の続報を機に、改めて身の回りのIoT機器の安全性について見直していただければと思います。特に格安で購入したAndroidデバイスをお持ちの方は、一度ネットワーク通信状況を確認してみることをお勧めします。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
