数十億件のDNS解決とそれに関連するネットワークテレメトリを集計することで、顧客基盤全体における住宅用プロキシの影響を調査しました。エンタープライズ顧客ネットワーク内部では、Kimwolfボットネットの活動も確認されています。
Infoblox Threat Defense Cloudの顧客を対象とした数十億件のDNS解決に対するフォローアップ分析により、より根本的な問題が浮かび上がりました。2026年には、65%以上の顧客が住宅用プロキシの制御またはアクセスに関連するドメインへの問い合わせを行っていたことが判明しています。
この広範な利用は、正当なスクレイピング需要、組み込みSDK、無料のコンシューマー向けアプリ、そして隠蔽されたプロキシウェアが複合的に絡み合ったものであり、ネットワーク防御やインシデント対応を著しく複雑化させています。
住宅用プロキシは、一般消費者のデバイスやホームルーターに割り当てられたIPアドレスを経由してトラフィックをルーティングします。データセンターVPNやTorとは異なり、これらのプロキシは接続先サーバーに対して一見正当な住宅用IPアドレスを提示するため、攻撃者の発信元を事実上隠蔽し、IPベースの評価システムや不正防止システムを無力化します。
Infobloxのテレメトリによると、住宅用プロキシドメインへの月間DNS問い合わせ数は2025年に約25%増加し、2026年4月までに約4,000億件から5,000億件超へと拡大しています。これは、AIモデルの学習やウェブスクレイピングを目的とした需要の拡大と、2026年1月下旬のGoogleによるIPIDEA摘発のような取り締まりにもかかわらず続く根強い利用実態の両面を示しています。
運用上のリスクは2点あります。第一に、意図せずプロキシウェアをホストしてしまった企業ネットワークは、攻撃者に対してルーティング可能な信頼性の高いIPアドレス空間を提供することになります。
1月13日、InfobloxはKimwolfボットネットとエンタープライズネットワーク内部での住宅用プロキシ利用に関する調査結果を公開しました。
そのIPアドレス空間が後に第三者への攻撃に利用された場合、防御側は自社ネットワークが単なる中継路として機能していたことを証明するために時間とコストを費やさなければなりません。これは法的リスクと評判の毀損につながるプロセスです。
第二に、住宅用プロキシのトラフィックは不審または悪意のあるドメインに頻繁にアクセスするため、大量のセキュリティアラートが発生し、アナリストが過負荷に陥るとともに他の脅威が見落とされるリスクがあります。
Infobloxが持つ独自の可視性——顧客の再帰リゾルバーは、ユーザーの通常の操作によるDNS問い合わせだけでなく、プロキシプールに登録されたデバイスからの問い合わせも処理しているという点——により、業種を横断してこのアラート増幅現象が明確に確認されています。
テレメトリはまた、注目すべき行動上の異常も明らかにしています。たとえば、InfaticaおよびIPIDEA摘発後にその他のプロバイダーへの問い合わせが急増し、特定のIPIDEAドメインへのアクセスが確認された顧客ネットワーク数は1日で265%以上増加しました。
住宅用プロキシネットワークの悪用実態
このような急増は、動的な再構成、フォールバック機構、またはプロキシを有効にするアプリやSDKの広範な普及を示唆しており、防御側は急速な横展開の影響に注意して監視する必要があります。
住宅用プロキシの利用がすべて意図的な悪意によるものとは限りません。多くのアプリはデバイスをプロキシに変えてユーザーに報酬を与えるSDKを通じて収益を得ており、低価格のIoTデバイスやブラウザ拡張機能にプロキシウェアを組み込むケースもあります。ただし、開示内容が不透明なことも多く、ユーザーの同意を得ていないと思われる導入事例も見受けられます。
Infoblox顧客環境で観測された代表的なサービスには、Brightdata、Oxylabs、Hola、Honeygain、そしてGrassが含まれており、後者については過去の調査で特定のAndroid TVデバイスにプリインストールされていたことが報告されています。
プロキシサービスの利用は業種を問わず広がっており、製薬・飲食品業界の顧客の90%以上、政府機関・銀行業界の顧客の60%以上でプロキシ指標に関連するドメインへの問い合わせが確認されています。
ネットワーク防御担当者や政策立案者にとって、その示唆は明らかです。住宅用プロキシはIPアドレスによる帰属への信頼を損ない、検出ノイズを増幅させ、企業のIPアドレス空間が悪用される経路を生み出しています。
実践的な対策としては、既知のプロキシドメインの検出・ブロックを目的としたProtective DNSの導入、プロキシ指標を探すDNSクエリログの監査、インストール済みアプリおよびブラウザ拡張機能の棚卸し、IoT機器フリートへの組み込みSDKスキャンなどが挙げられます。
また、組織は専門のトラッカー(例: Synthient)や脅威インテリジェンスプロバイダーと連携し、自組織のIPアドレスがプロキシプールに登録されていないかを確認することも重要です。
Infobloxによる継続的な監視とパートナーとの協調研究は、住宅用プロキシが単なる周辺的な問題ではなく、現代のネットワークリスクを左右する広範な要因であることを改めて示しています。
可視性、ポリシー施行、ベンダーおよびサードパーティへの監督を組み合わせながら住宅用プロキシを脅威として捉える防御側は、自組織のネットワークが悪用目的の匿名化インフラとして転用されるリスクを低減し、被害を未然に防ぐ上でより有利な立場に立つことができるでしょう。
翻訳元: https://gbhackers.com/residential-proxies-networks-abused/
