2026年1月29日、サイバーセキュリティの世界に衝撃が走りました。Googleの脅威インテリジェンスグループ(GTIG)は、世界最大級の悪質な住宅プロキシネットワーク「IPIDEA」を壊滅させるための大規模な共同作戦を実行したと発表しました。このネットワークは、無数の一般ユーザーのインターネット接続を密かに乗っ取り、サイバー犯罪者や国家支援型攻撃グループがその活動を隠蔽するための「秘密のトンネル」として機能していました。
Googleは、この作戦において、IPIDEAのオンラインストアフロントを閉鎖し、法廷措置を通じてそのマーケティングおよび配布能力を停止させました。さらに、Androidユーザーを保護するため、Google PlayプロテクトはIPIDEAの悪質なコードを含むアプリを自動的に警告し、デバイスから削除、またはインストールをブロックするよう更新されました。この一連の措置は、悪質なプロキシネットワークがもたらす広範な脅威に対し、技術的、法的、そして業界連携による多角的なアプローチがいかに重要であるかを浮き彫りにしています。
IPIDEAの闇:住宅プロキシネットワークの実態
IPIDEAは、自らを「世界をリードするIPプロキシプロバイダー」と称し、毎日610万以上のIPアドレスを更新し、新たに6万9000のIPアドレスを追加していると宣伝していました。しかし、その実態は、一般家庭のインターネット接続を悪用し、サイバー犯罪者が自身の身元を隠して活動するための巨大なインフラでした。Google脅威インテリジェンスグループの主席アナリストであるジョン・ハルトクイスト氏は、「住宅プロキシネットワークは、高度なスパイ活動から大規模な犯罪計画まで、あらゆるものに蔓延するツールとなっている」と述べています。
このネットワークは、ユーザーが知らず知らずのうちにインストールしたトロイの木馬化されたアプリケーションや、オフブランドのAndroid TVストリーミングボックスにプリインストールされたマルウェアを通じて、一般のデバイスをプロキシエンドポイントに変えていました。IPIDEAはまた、ユーザーに「未使用の帯域幅」を収益化できると謳い、アプリをインストールさせることで、デバイスを意図的にプロキシネットワークに組み込む手口も用いていました。これにより、感染したデバイスは悪意のあるトラフィックを中継し、分散型サービス拒否(DDoS)攻撃などに利用されることになります。
このような住宅プロキシサービスは、正規の目的で利用されることもありますが、研究者たちは、非倫理的または完全に犯罪的な運営者がこれらのネットワークを悪用し、ボットネット、サイバー犯罪キャンペーン、スパイ活動、その他の悪意のある活動を構築・支援していると警鐘を鳴らしてきました。GTIGのシニアマネージャーであるチャーリー・スナイダー氏は、「住宅プロキシ業界は急速に拡大しており、GTIGの調査では、その成長の大部分が悪意のある利用によって促進されていることが示されている」と指摘しています。
一般ユーザーのデバイスがプロキシネットワークに組み込まれることで、デバイスが不正利用のフラグを立てられたり、ホームネットワークが外部からのトラフィックに晒されたり、新たなセキュリティ脆弱性が導入されたりする直接的なリスクに直面します。IPIDEAのプロキシアプリケーションは、出口ノードデバイスを通じてトラフィックをルーティングするだけでなく、デバイスにトラフィックを送信して侵害することを目的としており、ネットワークに参加した消費者に深刻なリスクをもたらしていました。
悪用されるインフラ:サイバー犯罪と国家支援型攻撃
IPIDEAのプロキシインフラは、サイバー犯罪、スパイ活動、高度な持続的脅威(APT)、情報操作など、さまざまな動機を持つ550以上の個別の脅威グループによって悪用されていました。これらのグループは、中国、北朝鮮、イラン、ロシアなど世界各地に及んでおり、被害者のSaaS環境へのアクセス、オンプレミスインフラの侵害、パスワードスプレー攻撃といった活動を行っていました。ハルトクイスト氏は、住宅プロキシが「ロシアと中国のサイバースパイ活動に関わるインシデントで頻繁に現れている」と述べ、APT28、Sandworm、Volt Typhoonといった著名なAPTグループによる利用も指摘しています。
IPIDEAは、中国を拠点とするBADBOX 2.0を含む複数のボットネットの活動を促進する役割を担っていたことで悪名高い存在でした。Googleは2025年7月、このボットネットとその関連する住宅プロキシインフラを運営しているとされる中国の25の匿名個人または団体に対して訴訟を提起しています。さらに、Synthientが発表した分析では、AISURU/Kimwolfボットネットの背後にいる脅威アクターが、IPIDEAのような住宅プロキシサービスのセキュリティ上の欠陥を悪用し、ローカルネットワーク内のファイアウォールの背後にある脆弱なIoTデバイスに悪意のあるコマンドを中継していたことが明らかになっています。
これらの悪意ある活動は、IPIDEAが提供する匿名性の高いインフラによって隠蔽され、攻撃者は自身の身元を特定されることなく、企業環境への侵入や大規模な犯罪計画を実行することが可能でした。住宅プロキシネットワークは、インターネットサービスプロバイダー(ISP)が所有するIPアドレスを通じてトラフィックをルーティングする機能を提供するため、悪意のある活動の発生源を隠蔽する完璧な隠れ蓑となっていたのです。このため、IPIDEAの壊滅は、これらの脅威グループの活動に大きな打撃を与えるものと期待されています。
多層的な支配構造:隠されたブランドとSDKエコシステム
IPIDEAを支えるプロキシネットワークは、単一の組織ではなく、複数の著名な住宅プロキシブランドの集合体として機能していました。Googleの調査により、Ipidea(ipidea.io)、360 Proxy(360proxy.com)、922 Proxy(922proxy.com)、ABC Proxy(abcproxy.com)、Cherry Proxy(cherryproxy.com)、Door VPN(doorvpn.com)、Galleon VPN(galleonvpn.com)、IP 2 World(ip2world.com)、Luna Proxy(lunaproxy.com)、PIA S5 Proxy(piaproxy.com)、PY Proxy(pyproxy.com)、Radish VPN(radishvpn.com)、Tab Proxy(tabproxy.com)といったブランドが、IPIDEAの支配下にあることが判明しました。
これらのブランドを管理する同じアクターは、住宅プロキシ用のソフトウェア開発キット(SDK)に関連する複数のドメインも管理していました。これらのSDKは、Castar SDK(castarsdk.com)、Earn SDK(earnsdk.io)、Hex SDK(hexsdk.com)、Packet SDK(packetsdk.com)といった名称で提供され、スタンドアロンアプリケーションとしてではなく、既存のアプリケーションに組み込まれることを目的としていました。IPIDEAは、これらのSDKをAndroid、Windows、iOS、WebOSアプリケーションの収益化ツールとしてサードパーティ開発者に販売し、ダウンロード数に応じて開発者に報酬を支払っていました。
開発者がこれらのSDKをアプリに統合すると、そのアプリをインストールしたデバイスはプロキシネットワークのノードへと変貌します。これにより、デバイスは広告された機能を提供しつつ、同時に悪意のあるトラフィックの中継点となるのです。これらのSDKは、コマンド&コントロール(C2)インフラとコード構造に大きな重複が見られ、感染したデバイスがTier Oneサーバーに接続してTier Twoノードのセットを取得し、その後Tier Twoサーバーと通信してペイロードをポーリングするという二層のC2システムを採用していました。Googleの分析では、約7,400のTier Twoサーバーが存在することが確認されています。
プロキシサービスに加えて、IPIDEAのアクターは、無料のVPNツールを提供するドメインも管理していました。Galleon VPN(galleonvpn.com)、Radish VPN(radishvpn.com)、そして現在は機能していないAman VPNなどがこれにあたります。これらのVPNサービスも、HexまたはPacket SDKを組み込むことで、出口ノードとしてプロキシネットワークに参加するように設計されていました。さらに、GTIGは、OneDriveSyncやWindows Updateを装ったものを含む3,075のユニークなWindowsバイナリがTier Oneドメインにリクエストを送信していたことを特定しました。また、ユーティリティ、ゲーム、コンテンツなど、複数のダウンロード元から提供された600ものAndroidアプリケーションが、Tier One C2ドメインに接続するコードを含み、収益化SDKを利用してプロキシ動作を可能にしていたことが指摘されています。
Googleの断固たる措置:法廷闘争と技術的防御
Googleは、IPIDEAの悪質な活動に対抗するため、多角的なアプローチを展開しました。その中核をなすのが、法廷措置と技術的な実施です。Googleは、感染したデバイスを制御し、プロキシトラフィックを管理するために使用されていた数十のドメインを停止させるための訴訟を提起しました。その結果、IPIDEAのウェブサイト(www.ipidea.io)は現在アクセス不能となっています。この法的な動きは、悪質なインフラの「オンラインストアフロント」を閉鎖し、そのビジネスモデルを根底から揺るがすことを目的としていました。
さらに、Googleは、Cloudflare、LumenのBlack Lotus Labs、Spurといった業界パートナーと協力し、IPIDEAのインフラと規模の検証を支援しました。この情報共有は、悪質なプロキシネットワークの複雑なエコシステム全体に対する協調的な行動を可能にする上で不可欠でした。Googleは、IPIDEAのSDKに関するインテリジェンスをプラットフォームプロバイダー、法執行機関、セキュリティ研究者と共有し、広範な連携を促しました。
Androidプラットフォームにおいては、Googleは既存の保護機能を強化しました。Google Playプロテクトは、IPIDEAのコードを含むアプリについてユーザーに自動的に警告を発し、これらの悪質なアプリケーションを削除し、認定されたAndroidデバイスへの将来のインストール試行をブロックするよう更新されました。これにより、ユーザーは知らず知らずのうちにデバイスが悪用されるリスクから保護されます。ハルトクイスト氏は、Playプロテクト認定Androidデバイスが品質とユーザーの安全を確保するための広範なテストを受けていることを強調しました。
IPIDEAの中国企業の広報担当者は、ウォール・ストリート・ジャーナルに対し、「比較的積極的な市場拡大戦略」と「不適切な場所(例:ハッカーフォーラム)でのプロモーション活動」を行ったことを認めつつも、「いかなる形態の違法または濫用行為にも明確に反対している」と述べました。しかし、Googleの行動は、このような「グレーゾーン」で活動する企業に対する明確な警告となり、悪質な活動を可能にする技術や組織に対して今後も断固たる措置を講じていくというGoogleの姿勢を示しています。
攻防の最前線:継続する脅威と業界の課題
GoogleによるIPIDEAの壊滅作戦は大きな成果を上げましたが、この戦いはまだ終わっていません。Lumen TechnologiesのBlack Lotus Labsのシニアリード情報セキュリティエンジニアであるクリス・フォルモサ氏は、Googleの行動が犯罪者が悪意のある目的でこれらのサービスを悪用する能力を効果的に遅らせていると評価しつつも、作戦後も約500万のユニークなボットがIPIDEAのコマンド&コントロールサーバーに接続し続けていることを指摘しました。これは、IPIDEAが依然として大規模な運用能力を保持していることを示唆しています。
しかし、フォルモサ氏は、以前の週と比較してプロキシの総数が40%減少したことを観測しており、さらなるプロキシの喪失に伴い、今後も減少が続くと予想しています。作戦前、LumenはIPIDEAのサーバーに接続するプロキシの1日平均約850万を追跡しており、実際の総数は1000万から1100万に近いと推定していました。この数字から見ても、Googleの行動が数百万のデバイスを悪質なネットワークから切り離したことは明らかです。
GTIGのシニアマネージャーであるチャーリー・スナイダー氏は、「これは数十、もし数百ものブランドとシェルエンティティからなる非常に複雑なエコシステムである」と述べ、IPIDEAのような組織が過去にもテイクダウンを乗り越えてきたことに言及し、今回の措置が重要である一方で、やるべきことはまだ多いという認識を示しています。サイバー犯罪を支えるシステムや足場を標的とすることで、防御側は犯罪エコシステムに大きなコストを課すことができ、これは簡単かつ迅速に再生できないものです。
この継続的な脅威に対抗するためには、協調的かつ継続的な努力が不可欠です。インターネットサービスプロバイダー(ISP)は、マルウェア駆動型住宅プロキシサービスをサポートするインフラへのトラフィックをブロックすることで貢献できます。Googleも、プロキシプロバイダーが「無知を主張したり、通知された際にこれらのセキュリティギャップを閉鎖したりするかもしれないが、意図的に不明瞭な所有構造、再販契約、アプリケーションの多様性を考慮すると、執行と検証は困難である」と認めています。この複雑なエコシステムとの戦いは、今後もサイバーセキュリティ業界にとって重要な課題であり続けるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Google Threat Intelligence Group shuts down IPIDEA proxy network - https://blog.google/innovation-and-ai/infrastructure-and-cloud/google-cloud/gtig-ipidea-disrupted/
- -Google Disrupts IPIDEA — One of the World’s Largest Residential Proxy Networks - https://thehackernews.com/2026/01/google-disrupts-ipidea-one-of-worlds.html
- -Google's disruption rips millions out of devices out of malicious network - https://cyberscoop.com/ipidea-proxy-network-disrupted-google-lumen/
- -Google Disrupts Extensive Residential Proxy Networks - https://www.infosecurity-magazine.com/news/google-disrupts-proxy-networks/