カーディング界隈が追い求める「クリーンな」レジデンシャルプロキシの実態

レジデンシャルプロキシは、カーディング界隈でもはや単純な匿名化ツールとしては扱われていません。むしろ、デバイスフィンガープリント、ブラウザプロファイル、請求情報、タイムゾーン、Cookie、取引挙動などと並んで、より広範な「なりすまし用スタック」を構成する一要素として語られる場面が増えています。

犯罪者集団が現在このインフラをどのように利用・評価しているのかをより深く理解するため、Flareの研究者は、過去2年間に投稿された約545件のディスカッションスレッドにわたる2,889件のユニークなアンダーグラウンド投稿を分析しました。これらの投稿には、運用ガイド、トラブルシューティングの相談、プロバイダー比較、取引失敗に関する議論、そして「クリーン」あるいは金融サービス対応をうたうプロキシサービスの広告などが含まれています。

これらを総合すると、レジデンシャルIPアドレスは依然としてカーダー(カード詐欺実行者)にとって重要である一方、もはや単独で信頼できる回避手段とは見なされていない実態が浮かび上がります。むしろ、犯罪者たちはプロキシプールが使い過ぎで消耗し、アドレスの評判が悪化し、位置情報が不正確になり、金融サービスがIPレンジ全体をブロックしてしまう、という市場の姿を繰り返し語っています。その結果、カーダーはより選別的になっており、IPの地理的位置を盗んだ本人確認データと一致させつつ、アンチ検出ブラウザやその他の手法を組み合わせて、説得力のあるデジタルアイデンティティを作り上げようとしています。

今回の調査結果は、レジデンシャルプロキシがカーディングのエコシステムにおいて依然として重要な要素であると同時に、その中でも次第に脆弱性を増している構成要素の一つでもあることを示唆しています。

ポイント

  • カーダーは、プロキシが単にレジデンシャル系プロバイダーに属しているかどうかだけでなく、その「履歴」で評価するようになっています。

  • 地理的な整合性は、国レベルの一致にとどまらず、市区町村、郵便番号、タイムゾーン、ブラウザの言語設定、請求情報にまで及ぶようになっています。

  • レジデンシャルIPだけで十分と見なされることはほとんどなく、アンチ検出ブラウザやフィンガープリント偽装と組み合わせて使われるケースが目立ちます。

  • プロバイダー側の制限により、金融サービスにアクセス可能とされる「クリーンな」レジデンシャルIPを扱う二次市場が生まれています。

  • 防御側は、レジデンシャルトラフィックを「文脈情報」として扱うべきであり、ユーザーが正規であることの証拠と見なすべきではありません。

レジデンシャルプロキシとは何か

レジデンシャルプロキシとは、インターネットサービスプロバイダーが一般家庭や個人向けデバイスに割り当てたIPアドレスを経由して通信をルーティングする仕組みです。

ウェブサイト側から見ると、その接続はホスティングプロバイダーや商用VPNから発信されたトラフィックではなく、ごく普通の家庭ユーザーによる通信のように見える場合があります。

レジデンシャルプロキシには、ローカライゼーションのテスト、広告の検証、ブランド保護など正当な用途もあります。犯罪者集団がこれを重視するのは、不正なセッションを通常の消費者トラフィックにより近く見せかけられるためです。

「レジデンシャル」に代わって台頭する「クリーン」という基準

今回のデータセットから得られた最も明確な知見の一つは、カーダーがもはやレジデンシャルプロキシを単一の信頼できるカテゴリーとして語っていない、という点です。彼らは代わりに、これらを「クリーン」なプールと「ダーティ」なプールに分けて捉えています。

「Getting the Cleanest Possible IPs for Carding(カーディングのために可能な限りクリーンなIPを入手する)」と題された、広く再投稿されているアンダーグラウンドガイド(下記スクリーンショット参照)は、レジデンシャルプールであっても、不正利用に繰り返し使われることでアドレスの品質が劣化していくと主張しています。

別のガイドでは、重要なのはそのIPがレジデンシャルかどうかという単純な問いではなく、以前に銀行や決済処理業者、その他不正利用に敏感なサービスに対して使われたことがあるかどうかだと主張されていました。

Image

この考え方は、トラブルシューティングに関する議論にも表れています。ユーザーたちは不正スコアサービスを比較し、同一のアドレスでも評価が驚くほど大きく異なると不満を漏らし、当初はクリーンと判定されていたIPが短期間の使用後にハイリスクと見なされるようになったと報告しています。

この根底にある前提は重要です。つまり、カーダーはプロキシの評判が動的なものであり、同じインフラを使う他の利用者全員の行動によって左右されると考えるようになっているのです。

精度の基準は「国」から「アイデンティティの一貫性」へ移行

従来のカーディングの手法では、盗んだカードと同じ国のIPを選ぶことが重視されてきました。しかし最近の投稿では、はるかに厳格な基準が語られています。

2026年1月の「地理的整合性(geoconsistency)」に関するスレッド(下記スクリーンショット参照)では、IPのおおよその位置情報を、請求先の郵便番号、デバイスのタイムゾーン、OSの言語設定、ブラウザの特性と一致させることが議論されていました。

Image

別の議論では、あるユーザーが大手レジデンシャルプロキシプロバイダーが郵便番号によるターゲティング機能を廃止し、国・州・市までしか選択できなくなったと不満を述べていました。

この人物は、市レベルのターゲティングではもはや不正検知の仕組みを回避するのに十分な精度が得られないのではないかと懸念していました。

アンダーグラウンドフォーラムで語られる技術的な主張のすべてが正確とは限りません。しかし、こうした議論は、彼らが単に自分の実IPアドレスを隠すだけでなく、一貫性のあるデジタルアイデンティティを構築しようとしているという運用上の姿勢を明確に示しています。

プロキシは数ある「層」の一つに過ぎない

このデータセットでは、レジデンシャルプロキシがアンチ検出ブラウザ、隔離されたデバイス、Cookie履歴、WebRTC設定、CanvasおよびWebGLフィンガープリント、ユーザーエージェントの一貫性と繰り返し結び付けて語られています。

2026年4月のあるガイドは、「完璧なレジデンシャルプロキシ」であっても、ブラウザプロファイルに矛盾する情報が含まれていれば失敗すると警告していました。別のセットアップガイドでは、固定された設定をそのままコピーしても効果はなく、デバイス、プロキシ、アカウント履歴、決済情報、対象となる加盟店をすべて総合的に評価する必要があると主張されていました。

Screenshot from one of the carding guides posted in a carding forum

これは、現代の不正検知の方向性を反映しています。Stripeのドキュメントでは、単一の指標に頼るのではなく、取引・本人確認・カード・過去の履歴に関する各種シグナルを組み合わせた管理策が説明されています。同社のカードテスティングに関するガイダンスでも、取引頻度、繰り返される拒否、請求情報の不一致、カードや顧客情報の使い回しといった点が重視されています。

カーダーが求める「金融サービス対応」IP

複数の投稿では、既存のプロキシプロバイダーが銀行や決済処理業者、政府系ポータルサイト、その他不正利用に敏感なサービスへのアクセスを制限していることへの不満が語られています。これはカーダーにとって現実的な問題を生み出します。あるIPが一見レジデンシャルで不正スコアも低く見えても、狙っている標的に対しては実際には使えない場合があるのです。

一部の犯罪者は、こうした制限をプロバイダーが自らのアドレスプールを不正利用から守っている証拠だと解釈しています。広く出回っているあるガイドに至っては、制限されているレジデンシャルプールほど、これまで金融機関に対して繰り返し使われてこなかった分、むしろクリーンなIPを含んでいる可能性があると示唆していました。

同時に、こうした制限は「金融対応」「銀行対応」、あるいは特定の決済プラットフォームにアクセス可能とうたうサービスへの需要を生み出しています。

アンダーグラウンドのユーザーたちはプロバイダーの推薦情報や接続性をテストする方法を交換し合っていますが、こうした広告の信頼性を検証するのは難しく、中には詐欺である可能性のあるものも含まれています。

この「利用可能なレジデンシャルインフラ」を求める動きは、はるかに大規模で、対立が深まりつつあるプロキシエコシステム全体の中で進行しています。2026年7月には、FBIと業界パートナーが、レジデンシャルプロキシプラットフォームNetNutおよびPopaボットネットに関連する数百のドメインを押収しました

研究者たちは、このネットワークをスマートTVやストリーミング機器を含む少なくとも200万台の侵害されたデバイスに結び付けています。これらの機器はレジデンシャルプロキシノードへと転用されていました。

このインフラは、広告詐欺やアカウント乗っ取りをはじめとする不正なトラフィックの発生に使われていたと報告されています。

2026年3月に発表されたFBIの警告ではさらに、犯罪者が州や市のレベルまでレジデンシャルプロキシのアドレスを選択できる点が指摘され、特にアカウント乗っ取りにおける利用例が挙げられていました。IPアドレスを被害者の居住地域に合わせることで、銀行のジオロケーション管理の仕組みを発動させにくくする、という手口です。

こうしたアンダーグラウンドでの議論と最近の摘発の動きを合わせて見ると、カーダーたちが単にレジデンシャルアドレスを入手することと、十分にクリーンで、位置情報が正確で、金融サービスとのやり取りが許可されているアドレスを入手することとを、なぜますます区別するようになっているのかが見えてきます。

防御側が得られる教訓

レジデンシャルIPアドレスを本質的に信頼できるものとして扱うべきではありません。より強力な手がかりとなるのは、セッション全体を通じた一貫性です。デバイスの履歴、アカウントの経過年数、ブラウザフィンガープリント、決済手段、請求情報、取引頻度、そして決済完了後の挙動などが挙げられます。

組織はまた、プロキシでは容易に隠しきれないパターンにも目を向けるべきです。繰り返される本人確認情報の新規作成、類似デバイスに紐づく複数のカード、急激な地理的位置の変化、タイムゾーンの不一致、少額の承認試行の集中発生などがこれにあたります。

アンダーグラウンドでの議論を見る限り、防御側の対策は既に不正行為のコストを押し上げつつあるといえます。カーダーたちは、汚染されていないインフラを探すことや、食い違う評判スコアを巡って議論すること、そしてますます細分化する本人確認シグナルを整合させようとすることに、より多くの時間を費やすようになっているのです。

レジデンシャルプロキシは依然としてカーダーにとって価値のあるものですが、もはや万能の回避手段ではありません。その有効性は、周囲を取り巻くあらゆる要素の信頼性にますます左右されるようになっており、そのより広範なアイデンティティの構築こそが、サイバー犯罪者にとってはるかに困難な課題となっています。

無料トライアルにご登録いただき、詳細をご覧ください

翻訳元: https://www.bleepingcomputer.com/news/security/inside-the-search-for-clean-residential-proxies-for-carding/

ソース: bleepingcomputer.com