サイバーニュース.jp

世界のサイバーなニュースを配信

Googleが住宅プロキシネットワーク「IPIDEA」を停止:世界規模のサイバー犯罪インフラを解体

カテゴリ:

Googleが大規模な住宅プロキシネットワークを停止

Googleは、世界最大級の住宅プロキシネットワークの一つであるIPIDEAの活動を停止させることに成功したと発表しました。これは、サイバー犯罪やスパイ活動に悪用されるインフラに対するGoogleとパートナー企業による法的な取り組みの一環です。

IPIDEAはかつて、「世界をリードするIPプロキシプロバイダー」として、毎日610万以上のIPアドレスを更新し、6万9,000の新規IPアドレスを提供すると宣伝していました。しかし、Googleが法的手段を講じ、デバイスを制御しトラフィックをプロキシするために使用されていた多数のドメインを閉鎖した結果、IPIDEAのウェブサイトは現在アクセス不能となっています。

住宅プロキシネットワークの脅威

Googleの脅威インテリジェンスグループ (GTIG) の主席アナリストであるジョン・ハルトクイスト氏は、「住宅プロキシネットワークは、高度なスパイ活動から大規模な犯罪スキームまで、あらゆるものに蔓延するツールとなっている」と述べています。

  • 攻撃者は、個人のホームインターネット接続を介してトラフィックをルーティングすることで、企業環境に侵入しながら姿を隠すことができます。
  • IPIDEAのプロキシインフラは、サイバー犯罪、スパイ活動、APT(高度な持続的脅威)、情報操作など、550以上の異なる動機を持つ脅威グループによって悪用されていました。これらのグループには、中国、北朝鮮、イラン、ロシアからのものも含まれます。
  • 彼らの活動は、SaaS環境やオンプレミスインフラへのアクセス、パスワードスプレー攻撃など多岐にわたります。

デバイス乗っ取りのメカニズム

最近の分析では、AISURU/Kimwolfボットネットの背後にいる脅威アクターが、IPIDEAのような住宅プロキシサービスのセキュリティ上の欠陥を悪用し、ローカルネットワーク内のファイアウォール背後にあるIoTデバイスに悪意のあるコマンドを中継していたことが明らかになりました。これにより、感染したデバイスは悪意のあるトラフィックを中継し、分散型サービス拒否(DDoS)攻撃に参加させられていました。

IPIDEAはまた、消費者のデバイスをプロキシ出口ノードに変えるソフトウェアを、以下のような方法で広めていました。

  • トロイの木馬化されたアプリケーション: ブランド外のAndroid TVストリーミングボックスにプリインストールされたアプリやゲームに、マルウェアがひそかにバンドルされていました。
  • 「簡単なお金稼ぎ」の誘惑: IPIDEAは、スタンドアロンアプリを宣伝し、消費者に「未使用の帯域幅」の利用を許可することで金銭を支払うと持ちかけ、アプリのインストールを促していました。

GTIGは、「 residential proxy network operators need code running on consumer devices to enroll them into the network as exit nodes」と説明しています。つまり、これらのデバイスはプロキシソフトウェアが事前にロードされているか、ユーザーが知らずにトロイの木馬化されたアプリケーションをダウンロードした際にプロキシネットワークに接続されます。一部のユーザーは、「帯域幅を収益化する」という約束に誘われて、意図的にこのソフトウェアをインストールしていた可能性もあります。

IPIDEAの広範なネットワークとSDK

Googleの脅威インテリジェンスチームは、IPIDEAが中国に拠点を置くBADBOX 2.0を含む多数のボットネットの促進において悪名高い役割を果たしてきたと指摘しています。2025年7月には、GoogleはBADBOX 2.0とその関連する住宅プロキシインフラを運営しているとして、中国の25の匿名の個人または団体を提訴しました。

IPIDEAのプロキシネットワークは単一のエンティティではなく、以下のようないくつものよく知られた住宅プロキシブランドの集合体でした。

  • Ipidea (ipidea[.]io)
  • 360 Proxy (360proxy[.]com)
  • 922 Proxy (922proxy[.]com)
  • ABC Proxy (abcproxy[.]com)
  • Cherry Proxy (cherryproxy[.]com)
  • Door VPN (doorvpn[.]com)
  • Galleon VPN (galleonvpn[.]com)
  • IP 2 World (ip2world[.]com)
  • Luna Proxy (lunaproxy[.]com)
  • PIA S5 Proxy (piaproxy[.]com)
  • PY Proxy (pyproxy[.]com)
  • Radish VPN (radishvpn[.]com)
  • Tab Proxy (tabproxy[.]com)

これらのブランドを制御するアクターは、住宅プロキシ用のソフトウェア開発キット(SDK)に関連する複数のドメインも制御していました。これらのSDKは、サードパーティの開発者向けに、Android、Windows、iOS、WebOSアプリケーションを収益化する方法として販売されていました。開発者がSDKをアプリに統合すると、IPIDEAからダウンロード数に応じて報酬が支払われ、これによりアプリをインストールしたデバイスがプロキシネットワークのノードに変換されていました。

IPIDEAアクターによって制御されていたSDKには以下のものがあります。

  • Castar SDK (castarsdk[.]com)
  • Earn SDK (earnsdk[.]io)
  • Hex SDK (hexsdk[.]com)
  • Packet SDK (packetsdk[.]com)

これらのSDKはコマンド&コントロール(C2)インフラとコード構造に大きな重複があり、感染したデバイスがTier Oneサーバーに接続してTier Twoノードのセットを取得し、その後Tier Twoサーバーと通信してデバイスを介してプロキシするペイロードを定期的にポーリングする2段階のC2システムに従っていました。Googleの分析では、約7,400のTier Twoサーバーが存在することが判明しました。

さらに、IPIDEAアクターはプロキシサービス以外にも、以下の無料VPNツールを提供するドメインを制御していました。これらもHexまたはPacket SDKを組み込むことで、プロキシネットワークの出口ノードとして機能するように設計されていました。

  • Galleon VPN (galleonvpn[.]com)
  • Radish VPN (radishvpn[.]com)
  • Aman VPN (現在は活動停止)

Googleの対策と課題

GTIGは、OneDriveSyncやWindows Updateを装った3,075種類のWindowsバイナリがTier Oneドメインにリクエストを送信していたことも特定しました。これらのトロイの木馬化されたWindowsアプリケーションは、IPIDEAアクターによって直接配布されたものではありませんでした。

また、複数のダウンロード元から提供されている600ものAndroidアプリケーション(ユーティリティ、ゲーム、コンテンツを含む)が、マネタイズSDKを使用してプロキシ動作を可能にするコードを含み、Tier One C2ドメインに接続していることが検出されています。

IPIDEAの広報担当者は、ウォールストリートジャーナルに対し、「比較的積極的な市場拡大戦略」と「不適切な場所(例えば、ハッカーフォーラム)での宣伝活動」を行っていたことを認め、「いかなる形式の違法または不正行為にも明確に反対している」と述べました。

この脅威に対抗するため、GoogleはGoogle Play Protectを更新し、IPIDEAのコードを含むアプリについてユーザーに自動的に警告するようになりました。認定されたAndroidデバイスでは、システムがこれらの悪意のあるアプリケーションを自動的に削除し、将来のインストール試行をブロックします。

Googleは、「プロキシプロバイダーは無知を主張したり、通知された際にこれらのセキュリティギャップを閉鎖したりするかもしれないが、不透明な所有構造、再販契約、アプリケーションの多様性を考えると、実施と検証は困難である」と述べ、この問題の複雑さを強調しています。

元記事: https://thehackernews.com/2026/01/google-disrupts-ipidea-one-of-worlds.html

投稿をさらに読み込む