Google の脅威インテリジェンス チームは最近、複数のパートナーと協力して、世界最大の住宅用プロキシ ネットワークの 1 つと考えられている IPIDEA エコシステムに対する作戦を開始し、そのプロキシ インフラストラクチャと商業運営に重大な損害を与えました。これにより、ネットワークが悪用できるデバイスの数が数百万台減少すると予想されます。住宅仲介業者間の広範な再販および協力関係により、この措置は、関連する仲介業者ブランドおよび上流および下流のブラックおよびグレー業界チェーンに連鎖的な影響を与えると考えられています。
Google は、この措置は 3 つの措置を中心に展開していると述べました。1 つは、感染したデバイスと中継プロキシ トラフィックの制御に使用されるコマンド アンド コントロール (C2) ドメイン名を法的手段を使用して削除することです。 2 つ目は、調査中に見つかった IPIDEA ソフトウェア開発キット (SDK) とプロキシ ソフトウェアの技術インテリジェンスをプラットフォーム サービス プロバイダー、法執行機関、セキュリティ研究機関と共有し、エコシステム全体内の特定とクリーンアップを促進することです。 3 つ目は、Android プラットフォームの保護を強化して、Google Play プロテクトが既知の統合 IPIDEA SDK アプリを自動的に警告およびアンインストールし、そのようなアプリの今後のインストール試行をブロックできるようにすることです。
いわゆる住宅用プロキシ ネットワークとは、一般家庭や中小企業のブロードバンド出口を通じてトラフィックを転送するサービスを顧客に販売することを指します。その IP アドレスは、従来のデータセンターのコンピューター室ではなく、さまざまな国の通信事業者によってエンドユーザーに割り当てられます。攻撃者は、世界中の多数の住宅用ブロードバンド出口を制御して「レンタル」することで、悪意のあるアクティビティを通常のユーザーの行動に偽装することができ、ネットワーク防御を非常に困難にします。特に、米国、カナダ、ヨーロッパの住宅用 IP の人気が高くなります。このようなネットワークを構築するには、オペレータが多数のユーザー デバイス上で特定のコードを実行し、ユーザー デバイスが静かにプロキシ ネットワークに参加し、いわゆる「出口ノード」になることができるようにする必要があります。
Google 脅威インテリジェンス チームの調査によると、IPIDEA 関連のプロキシ サービスが現実に広く悪用されていることがわかりました。その SDK はさまざまなボットネット用の機器を拡張するために使用されており、そのプロキシ ソフトウェアは犯罪者によってこれらのボットネットを遠隔制御するために使用されています。 Googleは、以前にBadBox2.0ボットネットに対して訴訟を起こしたと述べ、最近ではAisuruやKimwolfなどの活動的なボットネットもIPIDEAエコシステムを広範囲に利用していると述べた。 2026 年 1 月のわずか 7 日間で、Google は、IPIDEA 出口ノードとしてマークされた IP アドレスをステルス活動に使用している 550 以上の脅威グループを観察しました。これには、中国、北朝鮮、イラン、ロシアのスパイ組織や犯罪組織が含まれます。彼らの活動には、被害者の SaaS 環境、ローカル インフラストラクチャへのアクセス、大規模なパスワード スプレー攻撃が含まれていました。
この調査ではまた、おそらくプロキシ サービス間の再販およびパートナーシップ契約が原因で、多数の住宅用プロキシ出口ノードの IP に重大な重複があることも判明し、ブランドの境界だけで単一ブランドへのヒットを正確に定量化して属性を特定することが困難になっています。さらに、住宅用プロキシは組織のセキュリティを脅かすだけでなく、一般のユーザーにもリスクをもたらします。デバイスがそのようなネットワークに参加すると、その IP アドレスとローカル ネットワークがハッカー活動の踏み台として使用され、ユーザーは異常なトラフィックのためにさまざまなサービスによってフラグが付けられたり、禁止されたりする可能性があります。関連するプロキシによって、デバイスやホーム ネットワークにセキュリティ ホールが発生する可能性もあります。デバイスが出口ノードとして使用されると、攻撃者はプロキシ トンネルを使用して同じ LAN 上の他のプライベート デバイスにアクセスし、それによって元々閉じられていたホーム ネットワークがインターネットに公開される可能性があります。
Google の分析により、市場にある一見無関係に見える住宅用プロキシまたは VPN ブランドのグループが、実際には IPIDEA と同じ事業者によって管理されていることが判明しました。これらには、360 プロキシ、922 プロキシ、ABC プロキシ、チェリー プロキシ、ドア VPN、ガレオン VPN、IP 2 ワールド、イピデア、ルナ プロキシ、PIA S5 プロキシ、PY プロキシ、Radish VPN、タブ プロキシ、その他多くのブランド ドメイン名が含まれます。同じオペレーターは、レジデンシャル プロキシ SDK に関連する一連のドメイン名も管理しています。これらの SDK はエンド ユーザー向けではなく、アプリケーション開発者が組み込むことを目的としています。開発者が「トラフィック収益化」やその他の方法で収益を得るのを支援し、Android、Windows、iOS、WebOS などのマルチプラットフォームのサポートを提供すると主張しています。開発者がこれらの SDK をアプリに統合すると、IPIDEA はダウンロードなどの指標に基づいて開発者に支払いを行います。
SDKがアプリケーションに組み込まれると、アプリケーションがインストールされているデバイスは、元の機能を提供しながら静かにプロキシ ネットワークの出口ノードとなり、巨大な住宅用プロキシ ネットワークを維持するために必要な多数の端末デバイスを事業者に提供します。多くの住宅用プロキシ サービスは、その IP ソースが「合法で準拠している」と主張していますが、Google の調査により、そのような主張は誇張されているか、事実と矛盾していることが多いことが判明しました。悪意のあるプロキシ コードを含む多くのアプリケーションは、デバイスを IPIDEA ネットワークに追加することをユーザーに明確に開示していません。セキュリティ研究者は以前、未認定またはブランド変更された Android セットトップ ボックスなどのデバイス上に隠された常駐エージェント ペイロードを発見しました。
技術レベルでは、Google は SDK コードに埋め込まれたサードパーティ ソフトウェアと SDK 自体の静的および動的分析を実施し、指揮統制インフラストラクチャ構造の復元を試みました。分析の結果、EarnSDK、PacketSDK、CastarSDK、HexSDK は C2 インフラストラクチャとコード構造において高度に重複しており、全体として 2 層アーキテクチャが採用されていることがわかりました。第 1 層では、デバイスの起動後、複数のプリセット ドメイン名から接続を選択し、デバイスの診断情報をサーバーに送信し、接続に利用可能な第 2 層のノード IP を学習します。 2 番目の層では、クライアントはこれらの IP の特定のポートを定期的にポーリングして、プロキシ タスクを取得します。タスクを受信すると、対応するプロキシ ポートとの専用接続を確立し、受信したデータを転送します。
具体的な実装に関しては、第 1 層通信では、決済共有に使用される「キー」フィールドを含む HTTP GET クエリ パラメーターまたは POST リクエスト本文を通じてデバイス情報が報告されます。サーバー応答は、ポーリング間隔、ハートビート時間、およびいくつかの第 2 層ノード IP 構成を返します。レイヤ 2 通信は、純粋な IP アドレスと異なるポートで構成される「接続/プロキシ」ペアを使用します。前者は、エンコードされた JSON ペイロードを含む TCP ポーリング パケットの送信に使用され、後者は、タスクが割り当てられた後に実際のビジネス トラフィックを受信し、ターゲットの完全修飾ドメイン名 (FQDN) に転送するために使用されます。デバイスはタスク内のコネクションIDに基づいてプロキシポートとセッションを確立し、受信したデータをそのままタスクで指定された外部ターゲットに転送することで、ユーザーが知らないうちにプロキシリンクの確立が完了します。
さらにインフラストラクチャ相関分析を行うと、異なる SDK は異なる第 1 層ドメイン名を使用しているにもかかわらず、その背後にある同じ第 2 層サーバー プールを共有していることがわかります。 Google がさまざまな悪意のあるサンプルと SDK を分析したところ、この記事の執筆時点で約 7,400 台の第 2 層サーバーが世界中に分散していることが判明しました。この数は、米国に展開されている一部のノードを含め、需要に応じて動的に変化します。これは、外部パッケージとドメイン名のブランドが異なるにもかかわらず、IPIDEA の複数の SDK が実際には代理店ビジネスを運営するために同じバックエンド インフラストラクチャに依存していることを示しています。
伝播チャネルの観点から、IPIDEA オペレーターは無料の VPN サービスを提供する複数のドメイン名も管理しています。対応するアプリケーションは表面上 VPN 機能を提供しますが、実際には Hex または Packet SDK を隠し、十分な通知なしにユーザー デバイスを IPIDEA プロキシ ネットワークに接続します。さらに、Google は、動的分析中にファーストレベル ドメイン名の DNS リクエストを開始した合計 3,075 個の Windows 実行可能ファイルを特定しました。これには、端末を出口ノードに変えるために使用される PacketShare プログラムや、OneDriveSync や Windows Update を装った「Li Gui」アプリケーションが含まれますが、これらのトロイの木馬は IPIDEA によって直接正式に配布されたものではありません。 Google は、Android エコシステムにおいて、さまざまなダウンロード チャネルに配布されている 600 以上のアプリケーションに、第 1 層 C2 ドメイン名に接続されたコードが含まれていることを発見しました。これらのアプリケーションの表面機能は、ほとんどがツール、ゲーム、コンテンツですが、IPIDEA プロキシ動作を備えた収益化 SDK が組み込まれています。
IPIDEA のインフラを完全に解体するために、Google は今週一連の協調行動をとりました。デバイス レベルでは、Google は法的手続きを使用して、感染デバイスの制御とトラフィックの転送に使用される C2 ドメイン名を取り締まり、ソースからのプロキシ ネットワークの制御機能を弱めています。同時に、Android エコシステムでは、プラットフォーム ポリシーに従ってプロキシ コードを隠す「汚染」アプリケーションに対して法執行措置を講じ、Google Play プロテクトを利用して、IPIDEA SDK を統合するアプリケーションを自動的に識別、プロンプトを表示して削除し、今後のインストールを阻止します。配布の制限に関して、Googleはまた、IPIDEAやそのさまざまな代理店ブランドの宣伝に使用されるソフトウェアやSDKなどのマーケティングサイトのドメイン名に対して訴訟を起こし、同社の顧客獲得と拡大チャネルをブロックした。
Googleはまた、この作戦は業界パートナーの協力とインテリジェンスの共有と切り離せないものであると強調した。他の政府機関が適切な措置を講じられるよう、Googleは調査結果をSpurやLumenのBlack Lotus Labsを含む複数のセキュリティ企業と共有し、共同で住宅用プロキシネットワークの規模とそれが助長する悪意のある活動の種類を明らかにした。 Googleはまた、Cloudflareと協力してIPIDEA関連のドメイン名解決に介入し、指示を出したり製品を宣伝したりする同社の能力をさらに弱めた。
Googleは、今回の措置がこの大手住宅用プロキシプロバイダーに深刻な打撃を与えたと考えているが、業界全体が依然として急速に拡大しており、異なるプロバイダー間には広範な重複が存在するため、住宅用プロキシは徐々に欺瞞に依存した「グレーマーケット」へと進化し、消費者の帯域幅をハイジャックすることで世界的なスパイ活動やサイバー犯罪活動に目に見えないチャネルを提供していると警告した。この目的を達成するために、Google は業界、規制当局、ユーザーが協力して、常駐エージェント技術リスクの調査と防止を強化するよう呼びかけています。
ユーザーレベルでは、Googleは消費者に対し、「アイドル帯域幅の共有」や「ネットワークのレンタル」によって報酬を得られると主張するアプリケーションに厳重に警戒するよう呼び掛けている。そのようなアプリケーションは違法なプロキシネットワーク拡張の主なチャネルとなることが多く、知らず知らずのうちにホームネットワークに新たな攻撃の入り口を開くことになるからだ。 Google では、ユーザーに対し、公式アプリ ストアを通じてソフトウェアを入手し、サードパーティの VPN およびプロキシ アプリケーションの権限を慎重に確認し、Google Play プロテクトなどの組み込みのセキュリティ保護がオンになっていることを確認することを推奨しています。セットトップ ボックスなどのインターネットに接続されたデバイスを購入する場合、ユーザーは評判の良いブランドを選択することも優先する必要があります。たとえば、ユーザーは、Android TV の公式 Web サイトを通じて、公式 Android TV OS をサポートし、Play Protect 認定に合格したデバイスのリストを確認したり、Google が提供する手順を参照して、手持ちの Android デバイスが Play Protect 認定に合格したかどうかを確認したりできます。
ポリシーと業界ガバナンスの観点からGoogleは、住宅仲介サービスは長らく「合法的なビジネス」の旗印の下で開発、成長してきたが、「倫理的起源」や「ユーザーの自主性」を主張したいのであれば、ユーザーの同意を示す透明性と監査可能な証拠を提供する必要があると指摘した。同時に、アプリケーション開発者は、知識や誘導なしにユーザー デバイスを高リスクのプロキシ ネットワークに組み込むことを避けるために、独自の統合収益化 SDK をレビューする責任もあります。 Google は、モバイル プラットフォーム、通信事業者、その他のテクノロジー プラットフォームに対し、引き続きインテリジェンスの共有を強化し、ベスト プラクティスを実装し、違法なプロキシ ネットワークの被害を特定して抑制するよう呼びかけています。
トレーサビリティと検出によって広範なセキュリティ コミュニティを支援するために、Google は、VirusTotal の GTI コレクション内のこの操作に関連する包括的な脅威インジケーター (IOC) を登録ユーザーに提供しました。これには、セキュリティ チームが関連アクティビティの探索とブロックに使用できるように、C2 に使用される多数の不審なドメイン名、証明書の署名情報、DLL、APK、EXE などのさまざまなファイル タイプをカバーするサンプル ハッシュ値が含まれます。