2026/01/29 7:46
住宅プロキシネットワーク最大規模を破壊 (Note: If a more natural phrasing is desired, one could say 「最大規模の住宅用プロキシネットワークを混乱させる」.)
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
Googleの脅威インテリジェンスグループ(GTIG)は、他のチームと協力してIPIDEAの膨大な住宅プロキシネットワークを解体しました。これは世界最大級のネットワークの一つです。この作業は次の通りでした:
- 数百万台のデバイスとプロキシトラフィックを制御するドメインの法的テイクダウン;
- IPIDEAのSDK(Castar、Earn、Hex、およびPacket)とそれに関連するプロキシソフトウェアについて、プラットフォーム提供者、法執行機関、研究者へ詳細な技術情報を共有;
- Google Play Protect を強化し、これらのSDKを組み込んだAndroidアプリを警告・削除・ブロック。
ネットワークは二段階のコマンド&コントロール(C2)システムで構築されていました:Tier Oneサーバーが約7,400台のTier Twoノード(IPアドレス+接続およびプロキシポート)のリストを発行し、デバイスはこれらのTier Twoノードにタスクを問い合わせ、専用接続を確立してトラフィックを未改変で対象FQDNへ転送します。
IPIDEA は 360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Door VPN、Galleon VPN、IP 2 World、Luna Proxy、PIA S5 Proxy、PY Proxy、Radish VPN、Tab Proxy といった複数のプロキシ/ VPN ブランドを同一 C2 インフラで運用しました。SDK は Android、Windows、iOS、および WebOS アプリに埋め込まれ、600以上の Android アプリと3,075個以上のユニーク Windows PE ハッシュ(OneDriveSync や Windows Update を装ったトロイジャン)が特定されました。
住宅プロキシは消費者 ISP 所有の IP アドレスを経由してトラフィックをルーティングし、事前にロードされたソフトウェアやトロイジャ化されたソフトウェアでデバイスを出口ノードとして登録し、未使用帯域幅を攻撃者へ収益化します。
GTIG は Spur、Lumen の Black Lotus Labs、Cloudflare などの業界パートナーと協力してドメイン解決を妨害し、調査結果を共有することで広範な執行を図りました。このテイクダウンは IPIDEA のインフラを大幅に低下させ、リセラー契約経由で接続されているユーザーに影響を与え、さらなる法執行措置を促すと予想されます。
今回の事件は、デバイスセキュリティを損なう隠れSDK のリスクを浮き彫りにし、「未使用帯域幅」の支払いを提供するアプリを避けるよう消費者へ警告するとともに、プラットフォームがプロキシ登録のための透明な同意慣行を強制すべきだと訴えています。これにより無料 VPN サービスへの厳格な規制と住宅プロキシトラフィックへの tighter コントロール が加速する可能性があります。
本文
はじめに
今週、Google とパートナー企業が、世界最大級の住宅型プロキシネットワークの一つと考えられる IPIDEA プロキシネットワークを妨害しました。IPIDEA のインフラストラクチャは、多くの悪意ある行為者に利用されているデジタルエコシステムの、あまり知られていない構成要素です。
Google Threat Intelligence Group(GTIG)と他チームが主導した妨害活動は、以下の三つの主要アクションから構成されます。
- 法的措置:デバイスを制御しプロキシトラフィックをルーティングするドメインを閉鎖します。
- 技術情報共有:IPIDEA SDK とプロキシソフトウェアに関する情報をプラットフォームプロバイダー、法執行機関、研究会社と共有し、生態系全体での認識向上・実施強化を図ります。これら SDK は複数のモバイルおよびデスクトッププラットフォームに渡って開発者へ提供され、ユーザーのデバイスを暗黙的に IPIDEA ネットワークに登録します。SDK への集団的対策は利用者保護とネットワーク拡大の制限に寄与します。
- Android ユーザー保護:Google Play Protect が自動で警告・削除・ブロックを行い、IPIDEA SDK を組み込んだアプリケーションを排除します。
我々はこれらの措置により IPIDEA のプロキシネットワークが大幅に低下し、プロキシ運営者が利用できるデバイスプールが数百万台減少したと考えています。プロキシ運営者は再販契約を通じてデバイスプールを共有するため、本措置は関係企業にも影響を与える可能性があります。
住宅型プロキシで実現される多様な悪質行為
住宅型プロキシネットワークは、ISP が保有し住宅・小規模事業者に提供する IP アドレス経由でトラフィックを転送します。世界中のコンシューマーデバイスを介してトラフィックをルーティングすることで、攻撃者は悪意ある行為を隠蔽し、防御側には検知が困難になります。
強固な住宅型プロキシネットワークは米国・カナダ・ヨーロッパで数百万の住宅 IP を制御する必要があります。運営者はコンシューマーデバイスにコードを埋め込み、出口ノードとして登録させます。デバイスは事前にプロキシソフトウェアがプリロードされているか、ユーザーが気づかぬうちにトロイの木馬化されたアプリをダウンロードしてネットワークに参加します。一部のユーザーは「未使用帯域幅」報酬を得るために意図的にソフトウェアをインストールしています。
主なポイント
- IPIDEA は BadBox 2.0、Aisuru、Kimwolf など複数のボットネットを支援していることで悪名高い。
- 2026年1月の7日間で GTIG は中国・北朝鮮・イラン・ロシアから活動を隠蔽するために IPIDEA 出口ノードを利用した550件以上の脅威グループを観測しました。
- 住宅型プロキシは、出口ノードとして使用されたデバイスが疑わしいと見なされ提供元でブロックされるリスクや家庭ネットワークへの露出など、消費者にとっても危険があります。
IPIDEA プロキシネットワーク
IPIDEA の背後にいるアクターは、以下の多くの有名住宅型プロキシブランドをコントロールしています。
- 360 Proxy (360proxy.com)
- 922 Proxy (922proxy.com)
- ABC Proxy (abcproxy.com)
- Cherry Proxy (cherryproxy.com)
- Door VPN (doorvpn.com)
- Galleon VPN (galleonvpn.com)
- IP 2 World (ip2world.com)
- Ipidea (ipidea.io)
- Luna Proxy (lunaproxy.com)
- PIA S5 Proxy (piaproxy.com)
- PY Proxy (pyproxy.com)
- Radish VPN (radishvpn.com)
- Tab Proxy (tabproxy.com)
これらのブランドは、アプリにプロキシコードを埋め込む SDK ドメインも管理しています。SDK は開発者向けにマネタイズツールとして宣伝されますが、一度組み込まれるとデバイスは出口ノードへと変わります。
主要 SDK
- Castar SDK (castarsdk.com)
- Earn SDK (earnsdk.io)
- Hex SDK (hexsdk.com)
- Packet SDK (packetsdk.com)
コマンド&コントロール(C&C)インフラ
二層構造が使用されています。
- Tier One – デバイスはドメインに接触し診断データを送信、Tier Two ノードのリストを受け取ります。
- Tier Two – デバイスはプロキシタスク用サーバーへポールし、受領後指定された FQDN に提供された接続 ID を使って接続します。
すべての SDK は同じ Tier Two サーバー(約7,400 IP)を共有しています。Tier One ドメインは SDK ごとに異なります:
| SDK | Tier One Domains |
|---|---|
| PacketSDK | |
| CastarSDK | |
| HexSDK | CastarSDK と同じ(リダイレクト) |
| EarnSDK | |
トロイの木馬化されたソフトウェア配布
- VPN アプリ:Galleon VPN、Radish VPN、Aman VPN(停止)などがデバイスを IPIDEA ネットワークに暗黙的に参加させます。
- Windows バイナリ(約3,075 個の PE ハッシュ):Tier One ドメインへ要求し、一部は OneDriveSync や Windows Update と偽装しています。
- Android アプリ(約600 件、複数ソース): マネタイズ SDK を埋め込み Tier One ドメインへ接続します。
我々の行動
| 重点 | 行動 |
|---|---|
| デバイス保護 | C2 ドメインを閉鎖する法的措置を実施し、インフラストラクチャを源から破壊。 |
| 配布制限 | IPIDEA 製品(プロキシソフトウェア・SDK)を宣伝するドメインに対して法的措置。 |
| パートナーとの連携 | Spur、Lumen の Black Lotus Labs などの業界パートナーと情報共有し、Cloudflare と協力してドメイン解決を妨害。 |
行動要請
住宅型プロキシはスパイ行為やサイバー犯罪に消費者帯域幅を横取りする灰色市場へと変貌しています。さらなる対策が必要です。
- 消費者教育: “未使用帯域幅” 報酬を提供するアプリは避け、公式ストアの利用と VPN 権限の確認に徹してください。
- デバイス真正性検証: Android TV OS と Play Protect の認証を Android TV ウェブサイトで確認。
- 透明性要求: 倫理的調達を主張するプロバイダーは、ユーザー同意の監査可能な証拠を提供すべきです。
- 業界横断協力: モバイルプラットフォーム、ISP、テック企業は情報共有とベストプラクティス採用に取り組むべきです。
侵害指標(IOCs)
ネットワーク指標
00857cca77b615c369f48ead5f8eb7f3.com 0aa0cf0637d66c0d.com 31d58c226fc5a0aa976e13ca9ecebcc8.com 3k7m1n9p4q2r6s8t0v5w2x4y6z8u9.com 442fe7151fb1e9b5.com 6b86b273ff34fce1.online 7x2k9n4p1q0r5s8t3v6w0y2z4u7b9.com 8b21a945159f23b740c836eb50953818.com 8f00b204e9800998.com a7b37115ce3cc2eb.com a8d3b9e1f5c7024d6e0b7a2c9f1d83e5.com aa86a52a98162b7d.com af4760df2c08896a9638e26e7dd20aae.com asdk2.com b5e9a2d7f4c8e3b1a0d6f2e9c5b8a7d.com bdrv7wlbszfotkqf.uk cfe47df26c8eaf0a7c136b50c703e173.com hexsdk.com packetsdk.io packetsdk.net packetsdk.xyz v46wd6uramzkmeeo.in willmam.com
ファイル指標
- 署名:複数の証明書でプライベート組織シリアル番号を使用(元文にリスト)。
- ハッシュ:
– DLL、Packet SDK パッケージ。aef34f14456358db91840c416e55acc7d10185ff2beb362ea24697d7cdad321f
– APK(Packet SDK コード)。b0726bdd53083968870d0b147b72dad422d6d04f27cd52a7891d038ee83aef5b
– APK(Hex SDK コード)。2d1891b6d0c158ad7280f0f30f3c9d913960a793c6abcda249f9c76e13014e45
– EXE、Radish VPN クライアント。59cbdecfc01eba859d12fbeb48f96fe3fe841ac1aafa6bd38eff92f0dcfd4554
– EXE、ABC S5 Proxy クライアント。ba9b1f4cc2c7f4aeda7a1280bbc901671f4ec3edaa17f1db676e17651e9bff5f
– EXE、Luna Proxy クライアント。01ac6012d4316b68bb3165ee451f2fcc494e4e37011a73b8cf2680de3364fcf4
詳細分析や追加の IOCs は GTI Collection(登録ユーザー向け)をご参照ください。