実は今、世界で約1万4000台ものASUS製ルーターが、所有者がまったく気づかないまま「犯罪インフラ」として使われていることが判明しました。自宅や小規模オフィスのルーターが、いつの間にかサイバー犯罪の踏み台にされているのです。
今回この事実を世界に公表したのは、米国の通信会社 Lumen Technologies 傘下のサイバーセキュリティ研究チーム「Black Lotus Labs」です。彼らが詳細な技術レポートを発表し、世界中のセキュリティメディアが一斉に報道しました(2026年3月11〜12日)。
この記事では、そのレポートをもとに
- KadNap マルウェアとは何か(仕組みをわかりやすく解説)
- どうやって感染するのか・何をされるのか
- OSINT(公開情報調査)の視点から見えてくること
- 自分のルーターを守るための具体的な対策
を、ファクトに基づいて初心者の方にもわかりやすく解説します。
“この記事のポイント”
- 2026年3月、Lumen / Black Lotus Labs が「KadNap(カドナップ)」ボットネットを公式発表
- 主にASUS製ルーター 約1万4000台 が感染(感染台数は増加中)
- 感染デバイスは犯罪用プロキシサービス「Doppelganger」に売り飛ばされていた
- 再起動では削除できない——完全除去には工場出荷状態へのリセットが必要
- ゼロデイ脆弱性は使われていない。パッチ未適用・弱パスワードが原因
- 1. KadNap はどうやって発見されたのか——OSINTの視点から
- 2. KadNap の仕組み——何がそんなに「厄介」なのか
- 3. 【OSINT深掘り】感染ルーターは「Doppelganger」に売られていた
- 4. なぜASUS製ルーターが集中的に狙われているのか
- 5. なぜ「削除に強い」のか——KadNap の永続化メカニズム
- 6. ボットネットの規模感——数字で理解する
- 7. 【OSINT視点】ルーターを狙うボットネットの歴史
- 8. 自分のルーターを守るために——今すぐできる対策
- 9. Lumen / Black Lotus Labs の対応——公開情報から読み解く
- 10. まとめ——「自分のルーターは大丈夫」は幻想かもしれない
- 参考情報・出典
1. KadNap はどうやって発見されたのか——OSINTの視点から
まず、このマルウェアが「どのように発見されたのか」という経緯を理解すると、サイバーセキュリティの世界がどのように機能しているかが見えてきます。
Lumen の「異常検知アルゴリズム」が最初に気づいた
KadNapが最初に発見されたのは2025年8月。Lumen が運用する「不審なネットワークを自動検索するアルゴリズム」が、1万台以上のASUSデバイスが同じサーバー群と通信しているという異常パターンを検出したことがきっかけでした。
この「同じサーバーと通信している大量のデバイス群」という異常こそ、ボットネット(感染デバイスの集合体)の典型的なシグネチャ(特徴的なパターン)です。Lumen はこの通信を分析してマルウェアの正体を特定しました。”OSINT(オシント)とは?” OSINT(Open Source Intelligence:オープンソース・インテリジェンス)とは、インターネット上に公開されている情報(ニュース・公式文書・SNS・ドメイン情報・IPアドレス情報など)を体系的に収集・分析して脅威を特定する手法のことです。スパイ映画のような秘密情報ではなく、「誰でもアクセスできる公開情報を深く読み解く技術」です。今回の Black Lotus Labs の発見も、ネットワークトラフィックという「公開的に観測可能なシグナル」を解析したOSINT的アプローチに基づいています。
「Spur」との連携で犯罪サービスとの接続を確認
Lumen がパートナー企業の「Spur」と連携した結果、発見したC2サーバーが既知の悪意あるプロキシサービスへの入口であることが判明しました。Black Lotus Labs は、KadNapがかつて「TheMoon」マルウェアを使っていた現在は閉鎖済みの「Faceless」プロキシサービスに関連する新しいボットネットである可能性が高いと確認しています。
つまり今回の発見は、
- 自社ネットワーク監視→異常通信を検出
- IPアドレス・ファイルハッシュ等を分析
- 外部情報(Spur のプロキシ犯罪サービスデータベース)と突き合わせ
- 過去の類似マルウェア(TheMoon / Faceless)との関連を確認
という、複数の公開・準公開情報を統合するOSINT的な調査プロセスで成し遂げられたものです。
感染マップから見えてくる地政学的文脈
感染デバイスの60%以上はアメリカに集中しており、台湾・香港・ロシア・イギリス・オーストラリア・ブラジル・フランス・イタリア・スペインでも感染が確認されています。
OSINTの視点からこの地理的分布を読み解くと、いくつかのことが見えてきます。
- アメリカへの集中:ASUS製ルーターの普及率の高さ、および高帯域幅の家庭用回線が豊富であることが要因と考えられます。犯罪プロキシサービスは「クリーンなIPアドレス」と「高速回線」を求めるため、これが狙われます
- 台湾・香港の存在:ASUS の本社が台湾にあり、この地域での普及率が高い。加えて地政学的に重要な地域であることも、攻撃者の関心と一致します
- ロシアの存在:ロシアのIPアドレスは多くのサービスでジオブロッキング(地域制限)されています。ロシアのユーザーがアメリカのIPに見せかけてアクセスするために、このプロキシサービスが利用される可能性があります
2. KadNap の仕組み——何がそんなに「厄介」なのか
感染の流れ:ステップ・バイ・ステップ
KadNap の感染は、まず悪意あるシェルスクリプト(ファイル名:aic.sh)を特定のIPアドレス(212.104.141[.]140)からダウンロードさせることで始まります。このスクリプトは55分ごとに自動実行されるcronジョブ(定期タスク)を設定して永続化します。そして「kad」という名前のELFバイナリ(Linuxで動く実行ファイル)がインストールされます。
感染の流れをわかりやすく整理します。
| ステップ | 何が起きているか | わかりやすい例え |
|---|---|---|
| ① 脆弱性を突く | パッチ未適用のルーターの穴を悪用して侵入 | 施錠し忘れた裏口から侵入する |
| ② スクリプトをDL | aic.sh をダウンロードして実行する | 「手引き書」を持ち込んで作業を始める |
| ③ 永続化 | 再起動後も自動で復活するcronジョブを設置 | 合鍵を作って隠す |
| ④ SSH遮断 | iptablesルールでSSH(ポート22)を閉じる | 「正規の修理業者が入れないよう」鍵を変える |
| ⑤ C2接続 | 設定ファイル(.sose)を使ってボットネットに参加 | 「本部」に「仲間に加わりました」と報告 |
| ⑥ 踏み台化 | Doppelganger に売られ、他者のトラフィックを中継 | 「あなたの家の窓を、他人が自由に出入りできるようにする」 |
“cronジョブとは?” 「cron」とはLinux系OSに備わっている「決まった時刻・間隔でプログラムを自動実行する仕組み」です。「毎朝7時にアラームを鳴らす」のと同じように、「55分ごとにマルウェアを自動起動する」よう設定されてしまいます。これが再起動後も感染が続く理由のひとつです。
最大の特徴:「Kademlia DHT」による隠蔽技術
従来のマルウェアの多くは、「中央集権型C2(コマンド&コントロール)サーバー」を使います。つまり「司令部」となるサーバーが1〜数台あり、そこから感染デバイスに命令を送る構造です。この場合、セキュリティ機関がその司令部サーバーのIPアドレスをブラックリストに載せると、ボットネット全体が機能不全に陥ります。
KadNap はこの弱点を克服するために、BitTorrent でも使われている「Kademlia(カデムリア)分散ハッシュテーブル(DHT)」技術をベースにしたP2P(ピアツーピア)設計を採用しています。”DHTをわかりやすく説明すると”Black Lotus Labs 研究者のフォルモサ氏は報告書の中でこう説明しています。「Kademliaは、友達の連鎖を使って誰かの電話番号を探すようなもの。誰も番号全体を知らないが、もっと知っている人を知っている。その連鎖を辿ることで、番号全体が完成する」——つまり、司令部サーバーのIPアドレスを「誰も完全には知らない」ように断片化して分散させることで、追跡を極めて困難にしているのです。
具体的には以下のような仕掛けがあります。
| 特徴 | 内容 |
|---|---|
| C2 IPアドレスをハッシュ化 | 司令部サーバーのIPは直接記載されず、ハッシュ値(暗号的な「指紋」)として隠蔽される |
| BitTorrentトラフィックに溶け込む | 通信がBitTorrentなどの正規P2Pトラフィックと区別できず、フィルタリングが難しい |
| 分散制御 | 司令部が複数に分散されており、1台を削除しても全体に影響が出ない |
| 3〜4台のC2を並列運用 | Black Lotus Labs の分析によると、ボットネットは通常3〜4台のC2サーバーを同時に使用しており、感染デバイスは一貫して45.135.180[.]38 と45.135.180[.]177 という2つのノードを経由してC2に接続していた。 |
“OSINTで確認できた固定ノードのIPアドレス” Black Lotus Labs が公開したレポートによると、KadNap感染デバイスが必ず経由する「固定エントリーポイント」として 45.135.180[.]38 と 45.135.180[.]177 の2つのIPアドレスが特定されています。自分のルーターのログにこれらのIPへの通信があった場合、感染の可能性が高いです。(※[ ]はURL誤クリック防止のため記号を挿入しています)
3. 【OSINT深掘り】感染ルーターは「Doppelganger」に売られていた
KadNap に感染したルーターは、攻撃者が勝手に使うのではなく、犯罪用プロキシサービス「Doppelganger(ドッペルゲンガー)」に売り飛ばされていました。
Doppelganger とは何か
Doppelganger(doppelganger[.]shop)は、主に家庭用インターネット回線を通じて顧客のトラフィックをトンネリングする有料プロキシサービスです。高帯域幅・クリーンなIPアドレスを使うことで、本来アクセスできないサイトに信頼性高く匿名でアクセスできる手段を提供します。このサービスのユーザーは、ブルートフォース攻撃(パスワードの総当たり攻撃)や高度に標的化された攻撃キャンペーンなど、様々な悪意ある目的でこの乗っ取りデバイスを利用しています。
前身は「Faceless」——過去の犯罪サービスとのつながり
研究者らは、Doppelganger が現在は閉鎖された悪名高いプロキシサービス「Faceless」のリブランド(名称変更版)である可能性が高いと見ています。Faceless はかつて「TheMoon」マルウェアを使っていました。
つまり犯罪エコシステムの系譜は以下のようになります。
犯罪プロキシサービスの系譜(OSINTで判明)
TheMoon マルウェア(ASUS ルーター感染)
↓ 踏み台として提供
Faceless(プロキシサービス:現在は閉鎖)
↓ リブランド
KadNap マルウェア(ASUS ルーター感染・規模拡大)
↓ 踏み台として販売
Doppelganger(現在稼働中の犯罪プロキシサービス)
このように、サイバー犯罪グループは一度摘発や閉鎖に追い込まれても、名前を変えてすぐに復活します。これがサイバー犯罪の根絶が難しい理由のひとつです。
「あなたのIPアドレス」が犯罪に使われるとは?
これが最も重要なポイントです。Doppelganger のユーザー(犯罪者)があなたのルーターのIPアドレスを使って何かをした場合、インターネット上の記録にはあなたのIPアドレスが残ります。
つまり、
- どこかの企業のシステムへの不正アクセス試行
- パスワードの総当たり攻撃
- フィッシングサイトへの誘導
- 違法コンテンツへのアクセス
こういった行為が「あなたのIPアドレスから行われた」という記録が残る可能性があります。警察や企業のセキュリティ担当者があなたのドアをノックしてくる——そんな事態が起こりえます。
“「踏み台」にされることの深刻さ”感染ルーターの所有者は、自分では何も悪いことをしていないのに、見知らぬ犯罪者のネット犯罪の「共犯者」のように扱われるリスクがあります。日本でも、無関係のPCをウイルス感染させて犯罪を実行させた「遠隔操作ウイルス事件」(2012年)では、無実の人が一時的に誤認逮捕される事態も起きました。
4. なぜASUS製ルーターが集中的に狙われているのか
Black Lotus Labs の研究者クリス・フォルモサ氏は、感染がASUSルーターに集中している理由として「脅威アクターが特定のASUSモデルに影響する脆弱性に対して、信頼性の高いエクスプロイト(攻撃コード)を所有しているためと考えられる」と述べています。ゼロデイ脆弱性が使われている可能性は低く、単にパッチ未適用の既知の穴が利用されているに過ぎない、とも述べています。
「特定のASUSモデル」という点についても、KadNapネットワークの約半数がASUSボット専用のC2インフラに接続しており、残りは別の2つのC2サーバーと通信していることが明らかになっています。この分離は、攻撃者がデバイスの種類・モデル別にボットネットのインフラを整理していることを示しています。
狙われやすいルーターの3つの条件
セキュリティ専門家が指摘する「攻撃者が狙いやすいルーター」の条件をまとめます。
| 条件 | 詳細 | あなたは大丈夫? |
|---|---|---|
| ① ファームウェアが古い | 既知の脆弱性に対するパッチが適用されていない | 最後にファームウェアを更新した日を覚えていますか? |
| ② デフォルト or 弱パスワード | 「admin/admin」「admin/password」など初期設定のまま | ルーターの管理画面のパスワードを変えましたか? |
| ③ リモートアクセスが有効 | 外部からルーターの管理画面にアクセスできる設定になっている | 「WAN側からのアクセス」が有効になっていませんか? |
“SOHO(スモール・オフィス・ホーム・オフィス)ルーターとは” SOHOとは「Small Office / Home Office」の略で、自宅や小規模オフィス向けのネットワーク機器を指します。ASUS・TP-Link・Netgear・バッファローなどのメーカーが販売する家庭用ルーターの多くがこれに該当します。大企業向けの高価な業務用ルーターと比べてセキュリティ管理が手薄になりがちで、世界中で攻撃者に狙われています。
5. なぜ「削除に強い」のか——KadNap の永続化メカニズム
KadNap が他のマルウェアと一線を画すのが、削除されることへの耐性です。
再起動しても復活する理由
通常のマルウェアの多くは、感染デバイスを再起動すると一時的に無効化されます。しかし KadNap は、ルーターの起動時に自動実行されるシェルスクリプトを保存することで、再起動後も確実に復活します。
加えて、感染後にダウンロードされるファイル fwr.sh は、iptables というLinuxのファイアウォール機能を使って SSH(ポート22)への着信TCPトラフィックをすべて遮断します。
SSHはシステム管理者がルーターをリモートで操作・修復するための「管理用通路」です。これを閉じられることで、外から「正規の修理」をしようとしても入れない状態にされてしまいます。非常に悪質な設計です。
「55分ごとのcronジョブ」の意味
感染後のcronジョブは55分ごとに実行されます。これは単に再起動対策だけでなく、マルウェアが一時的に停止されたり、ファイルが削除されたりしても、55分以内に自己復旧するためのメカニズムです。セキュリティソフトが一時的に検知・削除しても、すぐ元に戻ってしまいます。
“感染を疑う際のチェックポイント(OSINT的アプローチ)”
- ルーターのログに 45.135.180[.]38 または 45.135.180[.]177 への通信記録がある
- ルーターが突然 BitTorrent トラッカー(公開DHT)に接続している
- 知らないうちにルーターの SSH(ポート22)が閉じられている
- ルーターのプロセス一覧に 「kad」 という名前のプロセスがある
- ルーターのファイルシステムに 「aic.sh」「.sose」 というファイルがある
6. ボットネットの規模感——数字で理解する
KadNap の影響範囲を数字で整理します。
| 指標 | 数値・詳細 |
|---|---|
| 感染確認時期 | 2025年8月(Black Lotus Labs が最初に検出) |
| 初期感染台数 | 約1万台(2025年8月時点) |
| 現在の感染台数 | 約1万4000台(2026年3月時点・増加中) |
| 感染台数の増加 | 約8ヶ月で40%増加 |
| 主な感染国(1位) | アメリカ(全体の60%以上) |
| その他の感染地域 | 台湾・香港・ロシア・英国・オーストラリア・ブラジル・フランス・イタリア・スペイン |
| 主なターゲット機器 | ASUS製ルーター(約半数)、その他エッジネットワーク機器・IoT機器 |
| C2サーバー数 | 同時稼働3〜4台(分散型) |
| 固定エントリーポイント | 45.135.180[.]38・45.135.180[.]177 |
“1万4000台は「少ない」のか?” 一見すると小規模に思えるかもしれませんが、ボットネットの「質」が重要です。KadNapの感染デバイスは、高速の家庭用インターネット回線を持つ「クリーンなIPアドレス」です。企業のセキュリティシステムの多くは「悪名高いIPアドレス」からのアクセスをブロックしますが、一般家庭のIPアドレスからのアクセスは通しやすい。つまり少数でも「質の高い犯罪ツール」として機能します。
7. 【OSINT視点】ルーターを狙うボットネットの歴史
KadNap は突然現れた全く新しい脅威ではありません。ルーターを狙うボットネットは長い歴史があります。
| 名称 | 発見時期 | 特徴 |
|---|---|---|
| TheMoon | 2014年〜 | ASUS等のSOHOルーターを狙い、「Faceless」プロキシに提供。KadNapの前身に当たる |
| Mirai | 2016年 | IoT機器を大規模感染。2016年のDDoS攻撃でTwitter・Netflixを一時停止させた |
| VPNFilter | 2018年 | ロシア系APT(高度持続的脅威)による50万台超のルーター感染。FBIが調査 |
| Kimwolf | 2025年末 | AndroidベースのTV Boxやストリーミングデバイスをターゲットにしたボットネット。200万台以上を感染させ、住宅用プロキシとして利用した。 |
| KadNap | 2025年8月〜 | P2P/Kademlia DHT採用。削除困難・Doppelgangerに売却 |
ルーターやエッジデバイスが攻撃者に好まれる理由は明確です。数が多く、パッチが当たりにくく、インターネットと内部ネットワークの境界に位置しているからです。5G対応ルーターやセルラールーターが各産業に普及するにつれ、このリスクは高まるばかりです。
8. 自分のルーターを守るために——今すぐできる対策
Black Lotus Labs・Ars Technica・The Hacker News などが口を揃えて推奨する対策をまとめます。
Step 1:まず感染の有無を確認する
ルーターの管理画面(多くの場合 192.168.1.1 または 192.168.0.1 にブラウザからアクセス)にログインして、以下を確認してください。
- 「接続ログ」や「ファイアウォールログ」に不審な外部IPへの通信がないか
- ファームウェアバージョンが最新かどうか
- 「リモート管理」や「WAN側管理」が有効になっていないか
Step 2:感染していた場合——工場出荷状態にリセット
“再起動では不十分!必ず「工場出荷状態リセット」を” KadNapは再起動後も復活する設計になっています。感染を疑う場合、ルーター本体の「Reset」ボタンを長押し(通常10〜30秒)して工場出荷状態に戻す必要があります。この操作を行うと、Wi-Fiパスワードや各種設定はすべて初期化されますので、事前に設定内容をメモしておきましょう。
Step 3:リセット後の必須設定(5つ)
- ファームウェアを最新版にアップデート
ASUSの場合:管理画面の「管理」→「ファームウェアアップグレード」から更新できます。または ASUS公式サポートページ で機種名を検索して最新版をダウンロード。 - 管理者パスワードを強力なものに変更
「admin/admin」「admin/password」などのデフォルト設定は絶対に変更する。12文字以上で英大文字・小文字・数字・記号を混在させましょう。 - リモートアクセス(WAN側管理)を無効にする
外出先からルーターを管理する必要がなければ、この機能は必ずオフにしてください。 - SSHアクセスを無効にする
一般ユーザーが使う必要はほとんどありません。有効になっていた場合はオフに。 - Wi-Fiパスワードを変更する
リセット後は必ずWi-Fiパスワードを新しいものに設定し直しましょう。
Step 4:サポート終了機種は買い替えを検討
ファームウェアのアップデートが提供されなくなった「サポート終了(EoL:End of Life)」のルーターは、脆弱性があっても永遠に修正されません。セキュリティ研究者らは、サポートが終了したモデルを使い続けているユーザーに対して、機器の交換を推奨しています。
ASUSの場合、機種名で公式サポートページを検索するとサポート状況を確認できます。
“セキュリティ専門家(Black Lotus Labs)が推奨する組織向け追加対策”
- 弱い認証情報への攻撃や不審なログイン試行を監視する(住宅用IPから来た場合でも見逃さない)
- クラウド資産へのボットからのパスワードスプレー攻撃をブロックし、WAF(Webアプリケーションファイアウォール)でKadNapのIoCをブロックする
- デバイスが公開BitTorrentトラッカーに接続していないか確認する
9. Lumen / Black Lotus Labs の対応——公開情報から読み解く
Lumen は KadNap のC2インフラに向かうすべてのネットワークトラフィックをブロックする方法を開発し、他のセキュリティ機関も対応できるよう侵害指標(IoC:Indicators of Compromise)を公開フィードで共有することを表明しています。
Lumen の DefenderSM サービスを利用している顧客は、2025年8月の発見当初からすでにKadNapネットワークから保護されています。
Black Lotus Labs が公開しているIoC(侵害指標)は、以下の公式ブログから確認できます(英語)。
“IoC(侵害指標)とは?” IoC(Indicators of Compromise)とは、攻撃者が使用したIPアドレス・ドメイン名・ファイルハッシュ(ファイルの「指紋」)などの技術的な痕跡情報のことです。セキュリティ機関がこれを公開することで、世界中の企業・個人がそれらの情報をブロックリストに追加して防御できます。「犯罪者の指紋データベースを無料で公開する」ようなイメージです。
10. まとめ——「自分のルーターは大丈夫」は幻想かもしれない
今回のKadNapボットネットから学べることは非常にシンプルです。
- 攻撃者はゼロデイ(最先端の未知の脆弱性)など使っていない。パッチを当てていない既知の穴を突いているだけ
- 感染ルーターの所有者は何も気づかないまま、犯罪の踏み台として使われ続ける
- ルーターのセキュリティは「一度設定したら終わり」ではなく、継続的なメンテナンスが必要
- 再起動では感染は消えない。工場出荷状態リセット+ファームウェア更新+パスワード変更が必要
“今日すぐやるべき3つのこと”]
- 🔧 ルーターの管理画面にアクセスして、ファームウェアの更新を確認する
- 🔐 管理者パスワードが初期設定のままなら、今すぐ強力なものに変更する
- 📴 「リモート管理」機能が有効になっていたら、無効にする
あなたのルーターは今この瞬間も、インターネットと自宅をつなぐ重要な「門番」として24時間365日稼働しています。その門番がいつの間にか犯罪者に買収されている——そんな事態を防ぐために、今日5分だけ管理画面を確認してみてください。
参考情報・出典
- Black Lotus Labs 公式レポート:Silence of the Hops: The KadNap Botnet — Lumen
- Ars Technica:14,000 routers are infected by malware that’s highly resistant to takedowns
- BleepingComputer:New KadNap botnet hijacks ASUS routers to fuel cybercrime proxy network
- The Hacker News:KadNap Malware Infects 14,000+ Edge Devices to Power Stealth Proxy Botnet
- ASUS公式サポート:asus.com
※本記事に記載のIPアドレス・ファイル名等のIoCは、Black Lotus Labs の公式レポートに基づくものです。最新のIoC情報は公式ブログでご確認ください。誤クリック防止のため一部のIPアドレスに[ ]を挿入しています。
コメント