住宅用プロキシの脅威
(feistyduck.com)- 住宅用プロキシは、家庭向けのアドレスや類似のネットワークエンドポイントへトラフィックを迂回させるもので、データセンターIPの遮断を避けようとするスクレイピング需要と結びついて拡大している
- Webサイトは一般ユーザーのアクセスを開放したまま、望ましくない自動化トラフィックをふるい落とす必要があり、単一IPやクラウドサーバー基盤のスキャンはすぐに遮断されやすい
- プロキシネットワークは、アプリへのSDK組み込み、不十分な同意画面、ルーターのハッキング、マルウェアが事前インストールされた廉価デバイスなどによって構築されることがあり、ユーザーは知らないうちにボットネットの一部になる可能性がある
- 家庭・企業ネットワークがプロキシの出口ノードになると、帯域消費、Webサイトへのアクセス遮断、捜査機関の訪問可能性、内部ネットワークへのアクセスリスクが生じる
- 家庭では重要な機器の分離とトラフィック量の監視が必要であり、企業では未確認デバイスの遮断、保護DNS、脅威インテリジェンス、トラフィック検査が現実的な防御手段となる
なぜ住宅用プロキシが使われるのか
- 住宅用プロキシは通常、家庭向けアドレスに設置されたプロキシを指し、Webサイトのスクレイピングやそれに類する活動に利用される
- インターネットサービスは一般大衆にサービスを提供しながら、望ましくないトラフィックを検知して除去しなければならない
- 単一のIPアドレスから主要Webサイトを監視すると、すぐに遮断されることが多い
- 複数のクラウド事業者のサーバーIPへとスキャンを広げても、データセンタートラフィックはまとめて遮断されやすい
- この隙を突く代替手段が、住宅用エンドポイントを借りて使う方式である
合法的利用と悪用のあいだ
- スクレイピングは望ましくない行為であり得るが、それ自体が常に違法というわけではない
- ただし、集中的なスクレイピングはWebサイト側が防御すべき運用上の問題となる
- 利用目的は、有料ネットワーク監視のような正当な事例から犯罪的悪用まで幅広い
- Webサイトを攻撃しようとする犯罪者は、追跡を隠すために住宅用プロキシを使うこともある
- AIとAIエージェントの普及は需要をさらに押し上げている
- AIベンダーはインターネット上のコンテンツを学習に活用しようとしている
- AI利用者は、自分が享受している制限のないアクセスをツールにも与えたいと考える
- 現在では、ボットが人間よりも多くのインターネットトラフィックを生み出していると考えられている
スクレイピング経済を変えようとする課金の試み
- ボットにアクセスコストを支払わせることでスクレイピング経済を調整する方式が、有力な解決策として取り沙汰されている
- Cloudflareは2025年にpay-per-crawlというアイデアを打ち出し、その後Coinbaseとともにx402 standardを策定した
- AWSは最近、この課金プロトコルをWAF製品でサポートする機能を追加した
ネットワーク構築の方法: SDKと不十分な同意
- 住宅用プロキシの運用には、世界中に散らばる多数のネットワークエンドポイントが必要になる
- 表向きは合法的な形を取る方法もある
- 携帯電話やテレビのように大量に存在する機器向けのソフトウェア開発キットを作る
- アプリ開発者に報酬を支払い、プロキシソフトウェアをアプリケーションに組み込ませる
- 最悪の場合、無料アプリとともにプロキシコードがひそかに配布される
- 最善の場合でも、エンドユーザーに同意画面を表示してプロキシ出口ノードの運用にオプトインさせるが、それが十分に理解された同意かどうかは疑わしい
- Include SecurityのスマートTVがAIスクレイピング経済のノードになる仕組みに関するレポートがこの構造を説明している
- Synthientによれば、被害者の大半は居住者である
違法な構築手法: ルーターのハッキングと事前インストールされたマルウェア
- 別の方法は、違法な手段も含めて、可能なあらゆる手法でネットワークを作ることだ
- ルーターのハッキングは今なお有効な構築手段である
- 一部の廉価デバイスでは、住宅用プロキシ用マルウェアが事前インストールされた状態で販売された事例が文書化されている
- ユーザーが家族写真用のデジタルフォトフレームを買ったつもりでも、実際にはトロイの木馬のように動作してボットネットの一部になる可能性がある
- KrebsOnSecurityは、こうしたネットワークの運用方法を詳細レポートで公開している
家庭内ネットワークに生じる被害
- 運がよければ、誰かがユーザーのIPアドレスからスクレイピングを行い、帯域を少し消費する程度で済むかもしれない
- IPアドレスが住宅用プロキシネットワークと結び付けられると、一部のWebサイトにアクセスできなくなる可能性がある
- さらに悪い場合、誰かがユーザーのIPアドレスをサイバー攻撃の中継地点として使い、FBIや地元の政府機関の訪問を受けることもあり得る
- 住宅用プロキシネットワークは、ますます犯罪者が内部ネットワークにアクセスするための経路として使われつつある
内部ネットワークアクセスのリスク
- 一部の提供者はプライベートIPアドレスへのアクセスを制限していると主張するが、そのコードはたいてい出来がよくない
- 多くのAndroidベースの機器は、メーカーのトラブルシューティング用に設計されたAndroid Debug Bridgeを搭載したまま出荷されているようだ
- 同じネットワーク内では、こうした機器はすぐにroot化される可能性がある
- 企業ネットワークでも、住宅用プロキシのトラフィック証拠が増えている
- Infobloxのレポートによれば、保護DNSサービスの顧客の最大65%で住宅用プロキシネットワークへ向かうトラフィックが確認されている
- 顧客内検知率: {p:65}
家庭・企業における防御のポイント
- 家庭では、重要な機器をほかの機器から分離するために仮想ネットワークの利用を検討できる
- トラフィック量の監視も役に立つ
- ただし、家の誰かがTVに新しいアプリをインストールできるなら、確実な解決策はない
- 企業環境では、未知の機器をネットワークに許可しないのが理想だが、実際の実行は容易ではない
- よく見られる住宅用プロキシネットワークを把握している保護DNSサービスは、こうしたトラフィックを抑制し、問題のある機器を見つける助けになる
- 一部の機器はDNSを回避し、ハードコードされたIPアドレスへ直接接続することがある
- そのような場合には、良質な脅威インテリジェンスと企業トラフィックの検査・監視が必要になる
1件のコメント
Lobste.rs のコメント
こういう市場を誰が成り立たせたのか、本当に気になるという皮肉を感じる 🙄
何億台もの IoT 機器、スマート TV、ネットワーク機器がもはやアップデートを受けられず、メーカーが消えてしまったケースも多い
一部はそもそもマルウェア入りで出荷されたが、大半はただ放置され、誰の責任でもない一方で全員の問題になっている
ホームネットワーク内の機器がこうした挙動をしているか、中間者方式で監視する以外に簡単に検出する方法があるのか気になる
このツールは、自分の IP アドレスや別の IP が住宅用プロキシとして使われた形跡があるかを確認してくれるようだ
精度は分からないし、動的 IP を使っていると結果に影響する可能性がありそうだ
「多くの Android ベースの機器が、メーカーの問題解決用である Android Debug Bridge を有効にしたまま出荷され、同じネットワーク上から機器を簡単に root 化できる」というくだりで、すぐに信用するのをやめた
ラボで新しいビルドをテストしたりデバッグしたりするとき、機器に
adb remoteを使うのは非常に便利で、素早く反復開発する状況では開発用ビルドと顧客配布用ビルドを分けて作るのは面倒だ自分も一度、ADB が全開の機器が出荷されるのを止めたことがあり、そのときはかなり声高に問題視した
他のところではそのまま通ってしまった可能性もあると思う
住宅用プロキシを販売している会社の一つが Bright Data で、リンク先の記事にも出てくる
彼らは自社が提供する SDK の中にプロキシを仕込むSDK 経路を使っているという
Meta と X が対抗しようとしたが、敗れた