AllWinner と RockChip は一般にはあまり知られていないかもしれませんが、中国に拠点を置くこの 2 つの企業は、Amazon で販売されている非常に人気のある Android TV ボックスのいくつかに力を入れています。
Android搭載のこれらのテレビ用セットトップボックスは、一般的に安価で高度なカスタマイズが可能で、複数のストリーミングサービスを1つのデバイスにまとめているため、別途ハードウェアを購入する必要はありません。Amazonでの販売では、5つ星中4つ星の評価を誇り、数千件もの賞賛に値するレビューを獲得しています。
しかし、セキュリティ研究者らは、これらのモデルには組織的なサイバー攻撃を仕掛ける能力を持つマルウェアがプリインストールされた状態で販売されていると指摘している。
昨年、ダニエル・ミリシッチ氏はAllWinner T95セットトップボックスを購入し、チップのファームウェアがマルウェアに感染していることを発見しました。ミリシッチ氏は、このAndroid搭載セットトップボックスがコマンド&コントロールサーバーと通信し、次に何をすべきかの指示を待っていることを発見しました。GitHubで公開された調査結果によると、彼のT95モデルは、世界中の家庭やオフィスに設置された、マルウェアに感染した数千台のAndroid TVボックスからなる、より大規模なボットネットに、購入直後から接続していることが判明しました。
ミリシック氏によると、このマルウェアのデフォルトのペイロードはクリックボットであり、基本的にはバックグラウンドで広告を密かにタップすることで広告収入を生み出すコードです。感染したAndroid TVボックスの電源が入ると、プリロードされたマルウェアは直ちにコマンド&コントロールサーバーに接続し、必要なマルウェアの場所に関する指示を取得し、広告クリック詐欺を実行するデバイスに追加のペイロードを読み込みます。
「しかし、マルウェアの設計方法により、作成者は好きなペイロードを配布できる」とミリシック氏はTechCrunchに語った。
EFFのセキュリティ研究者ビル・バディントン氏も、Amazonで影響を受けたデバイスを購入し、ミリシック氏の調査結果を独自に確認しました。AllWinner T95Max、RockChip X12 Plus、RockChip X88 Pro 10など、他のいくつかのAllWinnerおよびRockChip Android TVモデルにも、このマルウェアがプリロードされています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ボットネットは通常、世界中にある数百、場合によっては数千、数百万もの侵入されたデバイスで構成されています。ボットネットの背後にいる運営者は、この広大な悪意のあるネットワークを利用して、感染したデバイスで暗号通貨をマイニングしたり、デバイスや接続先のネットワークからデータ(もしあれば)を盗んだり、これらのデバイスのインターネット帯域幅を総動員して他のウェブサイトやインターネットサーバーに大量のジャンクトラフィックを送りつけ、それらをオフラインにしたりします。これは分散型サービス拒否攻撃(DDoS攻撃)と呼ばれます。
ミリシッチ氏は、ボットネット全体に指示を送っていたコマンド&コントロールサーバーをホストするインターネット企業に対し、それらのサーバーをオフラインにするよう要請した。その結果、広告クリックマルウェアをホストしていたサーバーは間もなく姿を消した。しかし、ミリシッチ氏は、ボットネットは新たなインフラを投入していつでも復活する可能性があると警告した。
ボットネットの規模は不明だ。「このネットワークの規模を数値化するのは困難です」とバディントン氏はTechCrunchに語った。「確かなのは、どこを見てもAndroidトロイの木馬マルウェアの様々な亜種が、過去のサプライチェーン攻撃に関与したIPアドレスから、次の段階のマルウェアをダウンロードしているということです。これは印象的で、不安を掻き立てる活動です。」
ミリシック氏とバディントン氏は、一般ユーザーにとってマルウェアを簡単に削除する方法はないと指摘しています。影響を受けたユーザーにとっては、箱を完全に捨ててしまうのが最善の選択肢かもしれません。
「この問題を軽減する唯一の方法は、小売業者に高い基準を求めることだと思います」とミリシック氏はTechCrunchに語った。Amazonのようなオンライン販売業者について、「回転するカミソリの刃で作られた子供のおもちゃを販売することは許可されていないのに、なぜ小規模で無名の業者が所有者の許可なく悪意のあるコンピューターを販売することを許しているのでしょうか?」と疑問を投げかけた。
TechCrunchの取材に対し、Amazonの広報担当者アダム・モンゴメリー氏は、Amazonが販売するデバイスのセキュリティを検査しているかどうか、また問題のマルウェアに感染したデバイスの販売を停止する予定があるかどうかについてコメントを控えた。
AllWinnerとRockChipはコメントの要請に応じなかった。
近年、ハードウェアセキュリティの基準向上に向けた動きが活発化しています。バイデン政権は、セキュリティ上の欠陥を修正するためのアップデートメカニズムの追加など、デバイスメーカーによるデバイスセキュリティの向上を促す取り組みの一環として、インターネット接続デバイスのラベリングシステムを今年中に導入する計画を発表しました。2018年には、カリフォルニア州がインターネット接続デバイスにおけるデフォルトのパスワードや推測しやすいパスワードの使用を禁止する法律を可決しました。これらのパスワードは、ハッカーがデバイスをハッキングし、ボットネットに陥れる際にしばしば利用されます。
本稿執筆時点では、影響を受ける AllWinner および RockChip モデルはまだ Amazon で販売されています。
米国、2023年にインターネット接続機器の「ラベリング」評価プログラムを開始
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
