家庭やオフィスにあるルーターが、知らないうちに犯罪者の「住宅プロキシ」として使われている——そんな事態を現実にしているのが、ボットネットKadNapだ。Lumen TechnologiesのBlack Lotus Labsが2026年3月に公表したこの脅威は、ASUS製ルーターを中心とするエッジデバイス14,000台超を乗っ取り、犯罪用プロキシサービスの出口ノードに仕立てていた。エッジデバイスは「設置したら放置」されがちで、攻撃者にとって格好の潜伏先になる。本稿では、KadNapの巧妙な分散C2の仕組みと、ルーター/IoTが踏み台になる構造的問題、そして組織が取るべき対策を解説する。
概要
- マルウェア:エッジデバイス(主にASUSルーター)を標的とするボットネット「KadNap」。
- 規模:2025年8月に発見され、2026年3月時点で14,000台超に拡大。感染端末の約60%が米国に所在。
- 目的:感染デバイスを犯罪用住宅プロキシサービス「Doppelganger」(2025年5〜6月開始、廃止された「Faceless」のリブランドと評価)の出口ノードに仕立て、悪性トラフィックを中継させる。
- 特徴:Kademliaベースの分散ハッシュテーブル(DHT)で分散型C2を実現し追跡を困難にする一方、すべての指令が経由する2つの中継ノードという急所が残っていた。
- 公表:Lumen Technologies傘下のBlack Lotus Labsが2026年3月に公開。
何が起きたのか
2025年8月、研究者はASUSルーターなどのエッジネットワーク機器を主な標的とするマルウェアKadNapを発見した。その後ボットネットは拡大を続け、2026年3月までに14,000台を超える機器を感染させた。感染端末の約6割が米国に集中している。
KadNapの目的は、DDoSやランサムウェアのような「直接的な破壊」ではない。感染させたルーターを住宅用IPアドレスを持つプロキシの出口ノードとして貸し出すことにある。これらは「Doppelganger」という犯罪向けプロキシサービスに組み込まれていた。Doppelgangerは2025年の半ばに登場したサービスで、研究者は以前摘発された「Faceless」プロキシ網のリブランド(再ブランド化)だと評価している。
なぜ「住宅プロキシ」が犯罪者にとって価値があるのか。それは、データセンターのIPアドレスからの通信は怪しまれてブロックされやすいのに対し、一般家庭の正規ISPが割り当てた住宅IPからの通信は「普通の利用者」に見えるからだ。攻撃者はこれを経由することで、不正ログイン・スクレイピング・詐欺・各種サイバー攻撃の発信元を隠し、追跡を回避できる。あなたのルーターが乗っ取られれば、あなたのIPアドレスが犯罪の踏み台にされることを意味する。
技術的な解説
Kademlia DHTを使った分散型C2
KadNapの技術的な肝は、C2(指令通信)にKademliaベースのカスタム分散ハッシュテーブル(DHT)を採用した点だ。Kademliaは本来、BitTorrentなどP2Pファイル共有で使われる、中央サーバーを持たずノード同士で情報を分散管理する仕組みである。
従来の多くのボットネットは、中央のC2サーバーに各ボットが接続する構造だった。この方式は、C2サーバーのIPやドメインを特定して遮断(テイクダウン)すれば、ボットネット全体を一気に無力化できる弱点がある。一方、DHTを使った分散型C2には中央サーバーが存在しないため、「ここを潰せば終わり」という単一障害点がなく、テイクダウンが格段に難しくなる。
分散設計に残った「急所」
しかし、KadNapの分散設計は完璧ではなかった。Black Lotus Labsの分析によれば、KadNapのアーキテクチャは分散型を謳いながらも、すべての指令トラフィックが通過する2つの永続的な中継ノードに依存していた。
この「2つのノード」は、調査者にとってのチョークポイント(隘路)になった。研究者はこの中継ノードを足がかりに、背後のインフラ全体をマッピングすることに成功した。完全な分散を目指しても、実装の都合上どこかに集約点が残る——これは攻撃インフラ解析における重要な教訓であり、防御側・調査側にとっては突破口になる。
なぜエッジデバイスが狙われるのか
KadNapがルーターなどのエッジデバイスを標的にしたのには明確な理由がある。
- 常時稼働・常時接続:ルーターは24時間電源が入りネットにつながっている。プロキシの出口ノードとして理想的だ。
- 監視の死角:PCやサーバーにはEDRやアンチウイルスが入るが、ルーターやIoT機器にはエンドポイント保護がほぼ存在しない。感染しても気づかれにくい。
- 放置されがち:一度設置したルーターはファームウェアを更新されないまま何年も使われることが多く、既知の脆弱性が残り続ける。
- 住宅IPの価値:前述のとおり、家庭のルーターは「信頼される住宅IP」を持つ。
React2Shellを悪用したRondoDoxなど、近年エッジデバイス・IoTを狙うボットネットが急増しているのは、この「守りが薄く、放置され、価値が高い」という条件がそろっているためだ。
日本企業への影響
KadNapの感染は米国が中心だが、エッジデバイスを踏み台にする攻撃手法は地域を問わない。日本企業・組織にとってのリスクは次のとおりだ。
- 支店・拠点・在宅勤務のルーターが標的:本社のセキュリティが堅牢でも、管理が手薄になりがちな小規模拠点や、従業員の自宅ルーターは盲点になる。在宅勤務環境のルーターが乗っ取られれば、そこを経由した社内アクセスのリスクも生じる。
- 自社IPが犯罪の発信元にされる:組織のルーターやVPN機器がプロキシ化されれば、自社の正規IPアドレスから犯罪トラフィックが発信され、レピュテーション低下やブロックリスト掲載、最悪の場合は捜査対象になる恐れがある。
- IoT機器の管理不在:複合機・監視カメラ・NAS・産業用機器など、IT資産として把握されていないネットワーク機器が侵入経路・潜伏先になる。ファイアウォールの内側にある「見えていない機器」こそリスクだ。
今すぐ確認すべきポイント
1. ルーター・エッジ機器のファームウェアを更新する
KadNapは機器の脆弱性を突いて侵入する。ASUSをはじめ、利用中のルーター・VPN機器・IoT機器のファームウェアを最新版へ更新する。サポートが終了した(EoL)機器は脆弱性が放置されるため、買い替えを検討する。
2. 管理画面のインターネット公開を止める
ルーターの管理画面(Web UI・SSH・Telnet)がインターネット側に露出していないかを確認する。リモート管理機能は必要がなければ無効化し、必要な場合もアクセス元IPを限定する。
# 外部から自組織のグローバルIPに対し、管理ポートが開いていないか確認
# (管理者の許可のもと、自組織の資産に対してのみ実施すること)
# 例: 一般的な管理・リモートアクセス系ポート
nmap -Pn -p 22,23,80,443,8080,8443 <自組織のグローバルIP>
# 不要なポートが開いていれば、ルーター設定でリモート管理を無効化する3. デフォルト認証情報と不要サービスを排除する
初期パスワードのまま運用されている機器は格好の標的だ。すべての機器で強固なパスワードに変更し、UPnPや不要なリモートアクセス機能を無効化する。強度の高いパスワードと多要素認証(対応機器なら)を適用する。
4. 感染兆候を確認する
ルーターの動作が重い、見覚えのない設定変更がある、深夜帯に不審な通信量がある——といった兆候は感染を疑うサインだ。プロキシ化されると、通常では考えにくい大量の外向き通信が発生する。ルーターのトラフィックログや接続先を確認し、不審なアウトバウンド通信を監視する。感染が疑われる場合は工場出荷時リセット後にファーム更新し、パスワードを再設定する。
5. ネットワーク機器を「IT資産」として棚卸しする
守るためには、まず「何があるか」を把握する必要がある。ルーター・スイッチ・IoT機器・複合機などを資産台帳に載せ、ファームウェアのバージョンと更新状況を管理対象にする。把握できていない機器こそが侵入の起点になる。
6. 公開IOCで自組織を点検する
Black Lotus LabsはKadNapに関するIOC(C2の指標など)を公開している。これらを自組織のネットワークログに照合し、該当する通信がないかを確認する。ヒットした場合はインシデント対応手順に沿って対応する。
参考情報
- Lumen Technologies / Black Lotus Labs: KadNap ボットネットに関する調査レポート(2026年3月公表)
- The Hacker News: KadNap Malware Infects 14,000+ Edge Devices to Power Stealth Proxy Botnet
- Security Affairs: KadNap bot compromises 14,000+ devices to route malicious traffic
- Cloud Security Alliance: KadNap Botnet — Kademlia DHT C2 Evasion on ASUS Edge Devices