1万4000台のルーターが削除に強いマルウェアに感染している

セキュリティ研究者が、主にASUS製ルーターからなるネットワーク機器約1万4000台に、削除が非常に難しい「KadNap」と呼ばれるマルウェアが感染していると報告しました。

KadNap Malware Turning Asus Routers Into Botnets
https://blog.lumen.com/silence-of-the-hops-the-kadnap-botnet/

14,000 routers are infected by malware that's highly resistant to takedowns - Ars Technica
https://arstechnica.com/security/2026/03/14000-routers-are-infected-by-malware-thats-highly-resistant-to-takedowns/

セキュリティ企業Lumen傘下のBlack Lotus Labsの研究員であるクリス・フォルモサ氏は、テクノロジーメディアのArs Technicaに対し、一部のネットワーク機器上で「KadNap」と呼ばれるマルウェアが検出されていると報告しています。KadNapはネットワーク機器の所有者がパッチを適用していない脆弱(ぜいじゃく)性を悪用することで感染を拡大しているそうです。

KadNapは主にASUS製ルーターで検出されており、その理由はマルウェアを運用する脅威アクターが特定のルーターに影響を与える脆弱性に対する信頼性の高いエクスプロイトを所有しているためだと考えられます。ただし、フォルモサ氏は今回の攻撃で脅威アクターがゼロデイ脆弱性を利用している可能性は「低い」と語りました。

KadNapに感染しているルーターの数は約1万4000台で、Black Lotus Labsが最初に検出した2025年8月時点では1万台だったそうです。感染デバイスはアメリカに集中していますが、台湾・香港・ロシアにも少数存在する模様。KadNapの最も顕著な特徴のひとつは、分散ハッシュテーブルを用いてコマンド＆コントロールサーバーのIPアドレスを秘匿するネットワーク構造であるKademliaに基づき、洗練されたピアツーピア設計を採用しているという点です。この設計により、KadNapに感染したネットワーク機器をベースとしたボットネットは従来の方法による検出や削除を回避できます。

フォルモサ氏は「KadNapボットネットは、分散制御のためにピアツーピアネットワークを利用するという点で、匿名プロキシをサポートする他のボットネットの中でも際立っています。彼らの目的は明白です。検出を回避し、防御側による防御を困難にすることです」と語りました。

分散ハッシュテーブルは、強固なピアツーピアネットワークの構築に長年利用されてきたテクノロジーです。1台以上の中央サーバーがノードを直接制御して他のノードのIPアドレスを提供するのではなく、任意のノードが他のノードをポーリングして探しているデバイスやサーバーを検索できるようにするというものです。これにより、ネットワークはダウンやサービス拒否攻撃に対する高い耐性を備えることとなります。

KadNapに感染したデバイスは、有料プロキシサービス「Doppelganger」のトラフィック伝送に利用されています。Doppelgangerは主に家庭内のインターネット接続を介して、顧客のインターネットトラフィックをトンネリングします。このサービスは高帯域幅とクリーンなIPアドレスを使用することで、顧客が本来アクセスできない可能性のあるサイトに効率的かつ匿名でアクセスできる信頼性の高い手段を提供します。

KadNapは感染したルーターの再起動時に実行されるシェルスクリプトを保存するため、デバイスを再起動するだけでは再び感染状態に戻ってしまいます。そのため、KadNapを完全に削除したい場合は、工場出荷状態に戻す必要があります。また、ネットワーク機器の所有者は、利用可能なファームウェアアップデートがすべてインストールされていること、管理者パスワードが強力であること、そして必要な場合を除きリモートアクセスが無効になっていることを確認する必要があると、Ars Technicaはアドバイスしました。