2026年7月2日、米国連邦捜査局(FBI)は数百のドメインを差し押さえた。これらのドメインの裏でつながっていたのは、200万台を超える普通の家庭のスマートテレビやテレビボックスだ。彼らにはひそかにマルウェアが仕込まれ、あなたがまったく気づかないうちに、あなたの家庭のネットワークを犯罪者たちの「中継点」へと変えてしまっていた。
今年6月、セキュリティ研究者のXe Iasoが自身のブログに短い記事を投稿した。タイトルは「あなたはそろそろスマート家電をチェックした方がいい」。そこには、Anubisというアンチボットシステムのハニーポットデータが引用されていた。遮断されたクローラーのトラフィックのうち、89.3%は、いかなる脅威監視リストにも載っていないIPアドレスからのものだった——260万を超える独立したIP、いずれも普通の家庭用ブロードバンドのアドレスだ。Iasoは、このトラフィックの大部分が乗っ取られたスマート家電——テレビ、冷蔵庫、ルーター、はてはデジタルフォトフレームにまで——由来すると推測している。
この投稿は技術コミュニティのLobstersで73票を集めたが、コメント欄はある気まずい事実を露呈した。セキュリティ界はこれらのデバイスが危険なことを知っている。問題は——どうやって調べるのか。どうやって見つけるのか。どうやって対処するのか。 これに対して、汎用的な答えを持つ者は誰もいなかった。
図:現代の家庭のスマートデバイスはすべてインターネットにつながっており、どれも攻撃の入り口になり得る。出典:ネットワーク
これはSFではない:あなたのテレビは本当に他人のために「働いている」
「スマート家電がハックされる」なんてただの技術者の取り越し苦労だと思うなら、以下の数字を一見する価値がある。
2025年末、GoogleのセキュリティチームはBadBox 2.0と名付けられたボットネットを公表した。それは1000万台を超えるAndroid搭載デバイス——スマートテレビ、テレビボックス、タブレット、デジタルプロジェクター——を感染させていた。肝心なのは、マルウェアがユーザー自身がダウンロードしたものではないことだ。それは工場出荷時にあらかじめデバイスに仕込まれていた。 あなたが店や通販で買った安物の名もなきテレビボックスは、箱を開けたその瞬間から、すでに犯罪ネットワークの一ノードになっていたのだ。
2026年になると、今度はPopaと呼ばれるボットネットが現れた。今回の規模は「たった」200万台強だが、そのビジネスモデルはより完成されていた。Popaは、これら乗っ取られたデバイスのネットワークトラフィックを、NetNutという「住宅用プロキシネットワーク」に束ね、実際のIPを隠したい人々へと相場をつけて売っていた——広告詐欺の一味、パスワードリスト攻撃(credential stuffing)のハッカー、AI企業の大量クローラー、さらには国家級の諜報活動まで。Googleの脅威インテリジェンスチームは、わずか一週間のうちにNetNutのノードを316の異なる犯罪組織が利用していることを観測した。そしてNetNutを運営する企業Alarum Technologiesは、ナスダック上場のイスラエル企業である。
FBIは7月2日にNetNutのドメインを差し押さえた。しかし、一つのドメインを差し押さえることと、200万ノードのボットネットを解体することは、別の話だ。
図:IoTボットネットは、無数の家庭のデバイスを攻撃ツールへと変える。出典:セキュリティ研究レポート
あなたのテレビはどうやって「やられる」のか
テレビを買う時、それを一台のコンピュータとして見る人は少ない。だが実際には、今のスマートテレビは完全なOS——Android TV、Tizen、webOS——を動かしている。あなたの机の上のノートPCと同じように、プロセッサがあり、メモリがあり、ネットワーク接続があり、攻撃される脆弱性もあるのだ。
一台の普通のスマートテレビには、ふつう以下のような「攻撃の入り口」がある。
- 工場出荷時にあらかじめ仕込まれたマルウェア(BadBox 2.0はまさにこの手口):サプライチェーンの段階で植え付けられ、ユーザーが家に持ち帰った瞬間からすでに感染している。
- アプリストアの「トロイの木馬」:LGのwebOSアプリストアに対するセキュリティ研究機関の調査によると、42%を超えるアプリにプロキシ用SDKが組み込まれており、ユーザーのテレビをトラフィックの中継ノードに変えてしまうという。SamsungのTizenプラットフォームの状況はややマシだが、それでも四分の一を超えるアプリが同じSDKを抱えていた。これらのSDKは動画プレイヤーやスクリーンセーバー、システムツールの中に隠れており、ポップアップも出さず、権限も求めず、インストールすればすぐ動き出す。
- 違法コピーのテレビアプリ:これはLobstersの議論で複数のセキュリティ実務者が繰り返し口にしていた点だ。多くの人がドラマをタダで見ようと、出所の怪しいサードパーティ製アプリをテレビにインストールする。これらのアプリには悪意あるコードがしばしば紛れ込んでいるが、テレビのシステムにはスマホのような権限管理も、アプリの審査メカニズムもない。
- リモートデバッグポート:一部のAndroidテレビはデフォルトでADBデバッグポート(5555ポート)を開いており、攻撃者はネットワーク経由で直接デバイスに接続し、完全な制御権を得ることができる。2026年5月に発見されたxlabs_v1ボットネットは、まさにこのポートをスキャンして「肉豚(ぜんにく)」を募集していた。
これらをつなぎ合わせれば、一つの完全な攻撃チェーンが見えてくる。名もなきメーカーがコストを削り、「スマート」を売り文句にしながらセキュリティには一銭も投じない。サードパーティのSDK供給元がプロキシ機能を「広告技術」としてパッケージし、合法的な姿でアプリストアに紛れ込む。ユーザーはタダのコンテンツ目当てに違法アプリを入れる。犯罪者はこれらのノードを借りて、あなたの家庭のIPで自分たちの用を足す。
なぜ家のネットが遅くなったのか——乗っ取られた結果
感染したスマートテレビは、ふつうあなたが直接感じ取れる異常を示さない。あなたに「他人のために働いています」とポップアップするようなことはない。しかし見えない層では、同時にこんなことをしているかもしれない。
- DDoS攻撃のノードに:あなたのテレビと何千台もの他のデバイスが、あるWebサイトへ一斉に膨大なリクエストを送り、それを機能不全に陥れる。あなたの回線は満杯になり、あなたはただ「最近どうしてこんなに遅いんだ」と感じるだけだ。
- 暗号化トラフィックのプロキシに:犯罪者はあなたの家庭のIPを通じて攻撃を仕掛け、フィッシングメールを送り、パスワードリスト攻撃を行う——調査員がIPを追っても、最後に行き着くのはあなたの家だ。
- マイニングに:テレビの算力は限られているが、数万台まとめれば、電力消費は各家庭に分散する。電気代はあなたの負担、利益は相手のものだ。
- 広告詐欺に:あなたの見えない裏側で、あなたのデバイスがユーザーになりすまして広告をクリックし、動画を再生し、ブラックマーケットが広告主から金を騙し取る手助けをする。
- 盗聴に:ほぼすべてのスマートテレビには(音声操作のために)マイクが内蔵されている。2015年にはSamsungが、音声認識機能が環境の会話を第三者へ送信すると公に認めていた。テレビがマルウェアに支配されれば、マイクは遠隔で起動させられる。
図:スマートテレビなどのデバイスのセキュリティホールは、あなたのプライバシーを丸裸にするかもしれない。出典:ネットワーク
問題はこれだ:自分のテレビが怪しいかどうか、どうやって知るのか
これはLobstersの議論で最も支持されたコメント——原文著者のIasoも率直に答えている——だった。汎用的な方法はない。
なぜか。スマートテレビは閉鎖されたシステムだからだ。PCのようにウイルス対策ソフトを入れることも、プロセス一覧を見ることもできない。メーカーはあなたにその権限を渡さない。
家庭内ネットワークのDNSリクエストを監視して——テレビがどの見知らぬドメインと通信しているか見てみる——という提案もあった。だがこの手は、DoH(DNS-over-HTTPS、すなわち暗号化されたチャネルでドメインを引く仕組み)を使うマルウェアには無効だ。ルーターでトラフィックログを確認するという案もあるが、それにはファームウェアを書き換えられるルーターと、ログの読み方を学ぶ時間の余裕が必要だ——普通の家庭ユーザーにはハードルが高すぎる。
セキュリティコミュニティの合意は、おおむね以下の点に収束する。
第一に、出所の怪しいテレビアプリを入れるな。 とりわけ「全ネットがタダで見放題」「会員なしでドラマ追い放題」といった類のアプリ——彼らは慈善事業ではない、あなたが払う代償はあなたの家庭ネットワークかもしれない。
第二に、テレビをネットに繋がない。 これは冗談ではない。コンテンツ再生に外付けのApple TVやChromecast、あるいはゲーム機を使っているなら、スマートテレビ本体のネット接続機能は完全にオフにしていい。ネット機能を買った人の多くは、実際の利用でHDMI入力しか使っていない——「スマート」な部分はまったく使っていないのに、セキュリティのリスクはすべて背負わされているのだ。
第三に、安物の名もなきAndroidテレビボックスを買ったなら、とくに用心せよ。 これらのデバイスはBadBox 2.0の激甚地帯だ——工場出荷時点で感染しており、あなたにできることは何もない。最も安全なのは、無名ブランドを買わないことだ。
第四に、ルーターでできることは多くないが、やらないよりましだ。 ルーターが「ゲストネットワーク」機能に対応していれば、スマート家電を単独でゲスト回線に入れ、スマホやPCと隔離できる。こうすれば、たとえテレビに問題があっても、攻撃者がそれを経由して他のデバイスのデータにアクセスすることはできなくなる。
第五に、電気代とネット速度の変化に気を配れ。 家で誰もネットをしていないのにルーターのランプが狂ったように点滅している、あるいは電気代に明らかな異常な増加があるなら、それは一つのサインかもしれない——確定診断には足りないが、見過ごすべきではない。
対立線:便利さと安全の長引く綱引き
スマート家電のセキュリティ問題の根源は、各側の利害が一致していないことにある。
メーカーにとって、「スマート」は値上げのラベルだ。普通のテレビが2000元なら、「AI音声認識」を加えるだけで3500元で売れる——余分な1500元の原価は、50元のチップと一式の無料オープンソースAndroidシステムかもしれない。セキュリティアップデートについては? ユーザーには見えず、売上にも影響しない。なぜ投資する必要があるのか。
ユーザーにとって、便利さは真のニーズだ。音声で番組を探し、スマホで画面を投げ、アプリで遠隔操作——これらはみな便利な機能だ。安全のために便利さを捨てるようユーザーに求めることは、消費市場ではこれまで一度も有効な戦略になったことがない。
攻撃者にとって、スマート家電は「完璧な獲物」だ。常時オンライン、性能は十分、ユーザーは決してチェックせず、メーカーは決して修繕しない。一台のテレビは五〜十年使えるが、そのシステムのセキュリティパッチは出荷後二年目で打ち切られているかもしれない。
EUの「Cyber Resilience Act(サイバー強靭性法)」は、2027年末以降、EUで販売されるすべてのネット接続デバイスに対し、セキュリティアップデートの提供、デフォルトの安全設定、脆弱性の公開開示を義務づけている。これは一つの方向だ。しかし世界的に見れば、低価格デバイスの供給元はいまだに規制の抜け穴をくぐり、不安全なハードウェアを規制の緩い市場へと投げ売りできる。
筆者はここで「根本解決」の方案を出すつもりはない——なぜならそれは存在しないからだ。できることといえば、十分な数の人々にこの事実を意識させ、「我が家のテレビが怪しいかもしれない」がもはやSFのように聞こえる考えではなくなることだ。なにしろ、安全の第一歩は、いつだって「自分は不安全かもしれない」と認めることから始まる。
参考リンク:
- Xe Iaso: You should probably check on your smart appliances
- Lobsters 議論 (s/slrak5)
- Google 公式ブログ: Taking legal action against BadBox 2.0 botnet
- Hive Security: FBI Seizes NetNut — How a 2-Million-Device Proxy Botnet Hid Inside Smart TVs
- Gblock: Your Smart TV Is Secretly Routing Hacker Traffic
- SecurityWeek: Google Sues Operators of 10-Million-Device BadBox 2.0 Botnet