AVreconボットネットを基盤としたプロキシサービス「SocksEscort」がテイクダウンされる

yab

2026.03.16

AVreconボットネットを基盤としたプロキシサービス「SocksEscort」がテイクダウンされる

SecurityWeek – March 13, 2026

ユーロポールと米司法省は、犯罪行為を助長していたプロキシサービス「SocksEscort」を共同作戦を通じてテイクダウンしたと発表した。このサービスはDDoS攻撃やランサムウェア攻撃、児童虐待コンテンツの配信などに利用されてきた。

SocksEscortは侵害されたルーターやその他のIoTデバイスによって構成されており、2020年以降、163か国のIPアドレス約36万3,000件が紐付けられていた。侵害されたルーター約8,000台のうち、およそ2,500台は米国内のものだったとみられる。平均して毎週約2万件のデバイスが新たに侵害されており、通信は平均で15件のC2ノードを経由して行われていた。SocksEscortの利用者全体で合計570万ドル（9億円）以上を支払っていたと推測され、米司法省のデータによると、その多くがプロキシサービスを介した詐欺行為などから多額の利益を得ていた模様。

作戦によって7か国に設置されたドメイン34件とサーバー23台を摘発・押収することに成功し、米司法省は総額350万ドル（5.5億円）相当の仮想通貨を凍結。プロキシサービスを提供するために使用されていた感染モデムは、サービスから切断されたとのこと。

またFBIは12日、 SocksEscortサービスを支えていたAVreconマルウェアに関する警告を発した。このマルウェアはCisco・D-Link・Hikvision・MicroTik・Netgear・TP-Link・Zyxelなどの製品約1,200種を標的にしており、感染が確認されたデバイスの大多数がリモートコード実行やコマンドインジェクションの脆弱性を悪用して感染したSOHO（小規模オフィス／ホームオフィス）のルーターであったそう。当局はAVreconマルウェアに関する詳細と共に、侵害兆候（IoC）とデバイスのセキュリティ対策に関する推奨事項も公開した。