はじめに

2026年1月28日、Googleの脅威インテリジェンスグループ（GTIG）が、世界最大級の住宅用プロキシネットワーク「IPIDEA」を無力化したと発表しました。中国を拠点とする企業が運営するこのネットワークは、一般人のスマートフォンやテレビ受信機、タブレットなどを「踏み台」にして、スパイ活動や詐欺、情報操作に悪用されていました。

わずか7日間で550以上の脅威グループによる利用が確認されるなど、その規模と危険性は過去に類を見ないものです。本記事では、IPIDEAネットワークの実態と、Googleがどのように無力化を実現したのかを解説します。

IPIDEAプロキシネットワークの全貌

世界最大級の住宅用プロキシとは

「住宅用プロキシ」とは、一般家庭や個人が使うデバイスのインターネット接続を経由して通信を行う仕組みです。通常のデータセンターからのアクセスと異なり、一般ユーザーのIPアドレスを利用するため、セキュリティシステムによる検出が困難です。

IPIDEAは2020年に中国で設立され、数百人規模の従業員を抱える企業です。表向きはプロキシサービスを提供する正規の事業者を装いながら、実際にはマルウェアを通じて世界中の端末を無断でプロキシネットワークに組み込んでいました。その規模は220か国・地域にまたがり、「数千万台」のデバイスが接続されていたとされています。

複数ブランドによる巧妙な運営

IPIDEAは単独のサービスとして運営されていたわけではありません。922 Proxy、360 Proxy、Luna Proxy、Galleon VPN、Radish VPNなど、少なくとも13のブランドを展開し、それぞれ独立したサービスに見せかけていました。この戦略により、一つのブランドが摘発されても他のブランドで事業を継続できる体制を構築していたのです。

ネットワークの運用には約7,400台の第二層コマンド＆コントロール（C2）サーバーが世界各地に配置され、トラフィックの管理を行っていました。

デバイス感染の手口と被害

巧妙に仕組まれたマルウェア

IPIDEAがデバイスを感染させる手口は非常に巧妙でした。主に2つの経路が確認されています。

まず、Android端末に対しては、少なくとも600のトロイの木馬化されたアプリが使用されました。これらのアプリにはPacket SDK、Castar SDK、Hex SDK、Earn SDKなどの不正なSDKが組み込まれており、ユーティリティアプリやゲーム、VPNサービスを装いながら、密かにデバイスをプロキシネットワークに登録していました。「未使用の帯域幅を収益化できる」といった甘い言葉で、ユーザー自身にアプリをインストールさせるケースもありました。

Windows端末に対しては、OneDriveSyncやWindows Updateを偽装した3,000以上のバイナリが確認されています。正規のシステムプログラムに見せかけることで、ユーザーの警戒心を巧みに回避していました。

悪用された犯罪行為

IPIDEAのプロキシネットワークは、多種多様な犯罪行為に悪用されていました。GTIGの調査によると、2026年1月のわずか1週間で、中国、北朝鮮、イラン、ロシアを含む550以上の脅威グループがIPIDEAの出口ノードを利用していたことが確認されています。

具体的な悪用事例としては、被害者のSaaSプラットフォームへの不正アクセス、パスワードスプレー攻撃（多数のアカウントに対して少数のパスワードを試行する手法）、ボットネットの制御、そして攻撃インフラの隠蔽などが挙げられます。

さらに、IPIDEAのSDKはBADBOX 2.0、Aisuru、Kimwolfなど複数の大規模ボットネットとも連携しており、感染したデバイスがこれらのボットネットにも組み込まれていました。

Googleの対抗策と成果

法的措置とテクニカルな対応

GTIGはパートナー組織や法執行機関と連携し、多角的なアプローチでIPIDEAの無力化を実現しました。

法的対応としては、IPIDEAがデバイスの制御やプロキシトラフィックの管理に使用していた数十のドメインについて、裁判所の差し止め命令を取得しました。これにより、IPIDEAが数百万台のデバイスに対して持っていた制御を遮断することに成功しています。

技術的な対応としては、IPIDEAのSDKに関する技術情報をプラットフォームプロバイダー、法執行機関、セキュリティ研究機関と共有しました。また、Androidの組み込みセキュリティ機能であるGoogle Play Protectを通じて、IPIDEA SDKを含むアプリを自動的にユーザーに警告し、削除するとともに、今後のインストールをブロックする措置を講じています。

成果と限界

Googleの対応により、IPIDEAのプロキシネットワークとビジネス運営に大きな打撃を与えることができました。利用可能なデバイスのプールが数百万台規模で削減され、ネットワーク機能が大幅に低下したと報告されています。

しかし、注意すべき点もあります。現時点でIPIDEAの運営者に対する逮捕や起訴は発表されていません。脅威アクターがインフラを再構築し、活動を再開する可能性は十分にあります。

注意点・展望

一般ユーザーが自身のデバイスを守るために取るべき対策がいくつかあります。まず、Google Play ProtectなどのAndroidセキュリティ機能を有効にしておくことが重要です。また、出所が不明なアプリのインストールは避け、公式ストアからのみアプリを入手するようにしてください。

特に注意が必要なのは、「未使用の帯域幅を収益化できる」「無料VPN」を謳うアプリです。こうしたアプリには不正なSDKが組み込まれているリスクがあります。安価な「ノーブランド」のAndroid端末やスマートTV端末についても、ファームウェアレベルでマルウェアが仕込まれている可能性があるため、信頼できるメーカーの製品を選ぶことが推奨されます。

今後も類似のプロキシネットワークが登場する可能性は高く、GoogleやセキュリティベンダーとFBIなどの法執行機関との連携がさらに重要になるでしょう。

まとめ

Googleによる世界最大級の住宅用プロキシネットワーク「IPIDEA」の無力化は、サイバーセキュリティの歴史における重要な成果です。数百万台規模のデバイスが解放され、550以上の脅威グループの活動基盤が大幅に弱体化しました。

ただし、これは終わりではなく、サイバー犯罪との継続的な戦いの一局面に過ぎません。ユーザー一人一人がセキュリティ意識を持ち、不審なアプリのインストールを避けるなど、基本的な対策を徹底することが大切です。

参考資料:

• Disrupting the World’s Largest Residential Proxy Network - Google Cloud Blog
• Google disrupts proxy network used by 550+ threat groups - Help Net Security
• Google disrupts IPIDEA residential proxy networks fueled by malware - BleepingComputer
• Google、世界最大級の悪性プロキシ「IPIDEA」を無力化 - ITmedia NEWS
• Google Threat Intelligence Group shuts down IPIDEA proxy network - Google Blog