キャリアネットワークに接続された電話と4Gモデムのラック群が、商用モバイルプロキシサービスとして貸し出され、17カ国の少なくとも94の場所で運用されています。インフラストラクチャインテリジェンス企業Infrawatchによる調査では、これらのデプロイメントの大部分が、ベラルーシのミンスクで構築・運用されるProxySmart というシェアード・ソフトウェアプラットフォームに遡ることが明らかになりました。
SIMファーム(出典:Infrawatch)
Infrawatchは、インターネットに露出しているProxySmart コントロールパネルの87個の異なるインスタンスを特定し、少なくとも24の商用プロキシプロバイダーと35の携帯キャリアに分散していることが判明しました。米国だけでも、カリフォルニアとテキサスからメイン州とデラウェア州まで、19の州でファームが発見されました。研究者らは、特定されたファームの大多数が米国ベースであると判断しています。
「SIMファームが位置する法的グレーゾーンにより、そのモデルは限定的な混乱で拡大することが可能になり、大規模な詐欺事業を容易にしている可能性が非常に高いと評価しています」と、Infrawatch のCEOであるLloyd Davies氏は述べています。
ProxySmart が提供するもの
ProxySmart はそのソフトウェアをファーム運営者にSIM単位の価格モデルで販売しています。このプラットフォームはデバイス管理、自動IP回転、カスタマープロビジョニング、プラン実行、アンチボット対策をカバーしています。運営者はコントロールパネルをセルフホストし、ファームの物理的な起源を隠すために、クラウドインフラの逆プロキシを通じてトラフィックをルーティングすることが推奨されています。
ファーム内のデバイスは、物理的なAndroid電話またはUSB 4G/5Gモデムのいずれかです。電話はProxySmart ウェブサイトからダウンロードされた未署名APKを通じて登録され、SMS送受信機能を備えています。モデムはModemManager(オープンソースUSBドングル管理ツール)で管理されます。Amazon とeBayで入手可能なAlcatel IK4は、一般的に使用されているモデムハードウェアの1つです。ProxySmart サービス自体はPythonで記述され、PyArmourを使用して難読化されています。
IPアドレスのローテーションは、モバイルデバイスを3秒間飛行機モードに置いて、キャリアへの再接続と新しいIP割り当てを強制することで達成されます。サポートされているトンネリングプロトコルには、OpenVPN、SOCKS5、VLESS、およびHTTPが含まれます。VLESS サポートは、深いパケット検査が一般的な中国、イラン、ロシアなどの市場で関連性があります。
OSフィンガープリント偽造
ProxySmart には、運営者が個別のプロキシポートを設定して、macOS、iOS、Windows、またはAndroidに関連するTCP/IPスタック特性を提示できるOS偽造機能が含まれています。不正防止とアンチボットシステムは一般的にTCP/IPスタックフィンガープリンティングを使用して、接続デバイスのオペレーティングシステムを推測します。
ProxySmart 機能により、モバイルキャリアインフラから発信されたトラフィックがMicrosoft Windowsなどのデスクトップオペレーティングシステムとして表示されることが可能になります。米国のAT&T およびイギリスのThree はこの偽造をブロックするネットワークレベルの対抗措置を実装しています。
地理的な広がりとキャリアカバレッジ
Infrawatch が特定した94のファーム場所は、北米、ヨーロッパ、南米に及び、米国、カナダ、イギリス、ドイツ、スペイン、ポルトガル、ウクライナ、ラトビア、フランス、ルーマニア、ブラジル、アイルランド、オランダ、オーストラリア、イタリア、ポーランド、ジョージアでの確認された存在があります。ファームは強い4G/5Gカバレッジを備えた主要都市に集中しています。信号の安定性を向上させるため、デバイスラックの近くに外部アンテナを配置する運営者もあります。
ProxySmart 駆動ファームを通じて利用可能なキャリア接続には、AT&T、Verizon、T-Mobile、Vodafone、EE、O2、Three、Telstra、Optus、Rogers、Deutsche Telekom、Orange、SFR、Bouygues、KPN、Kyivstar、Lifecell、Vivo、Claro、その他が含まれます。
起源とオペレーターリンク
ProxySmart はオープンソースインテリジェンスを通じて公開的に、Instagram、Facebook、LinkedInを含むプラットフォームを対象とした4Gモバイルプロキシネットワークの構築支援を宣伝している人物とリンクされています。彼の個人ウェブサイトはハンズオンインフラストラクチャセットアップサービスを宣伝しています。
ProxySmart を使用している、より確立されたオペレーターの1つであるCoronium は、そのインストールウェブサイトでProxySmart の遠隔スクリプト更新サービスを参照し、そのプロセスでプラットフォームのオペレーターにリンクされたSSHキーを使用しています。
商用プロバイダーとKYC
Infrawatch はProxySmart サポートインフラ上で実行されていると評価される24の商用プロキシサービスを特定しました。独自の物理的なファームを運用するものもあれば、サードパーティのファーム容量をリテールプロキシプランにパッケージ化するものもあります。一部のプロバイダーは、アカウント作成、ソーシャルメディアの投稿と関与、および一般的なプラットフォーム自動化を含む狭い地理的市場と特定のユースケースを対象としています。
いくつかのサービスは、米国所在のモバイル接続を取得し、地理的に制限されたプラットフォームにアクセスするための方法として、ロシア語話者の聴衆に直接マーケティングされています。Infrawatch によると、評価されたほとんどのプロバイダーは、意味のあるKYC検証を要求していないようです。
米国のSIMファームにリンクされたロシアベースのサービスは、Telegram上で検閲回避を公然と宣伝しており、米国ベースの電話へのアクセスをトップAIサービスとグラフィックスカードプラットフォームを使用する方法として説明するプロモーションコピーを使用しています。
検出フィンガープリント
ProxySmart コントロールパネルは、739f22524fb0fbb64d9bd8bd9e54df73e17abbe8807ca6df350f69078e4bf164 のSHA-256ハッシュを持つ一貫したHTTPレスポンスを生成します。Infrawatch はこれを直接クエリできることに注意します。より大きなオペレーターの少数がProxySmart 参照を削除するためにパネルを再ブランド化しました。1つのインスタンスは英国の住宅用IPアドレスで実行されているのが見つかりました。
翻訳元: https://www.helpnetsecurity.com/2026/04/21/sim-farm-proxy-network-cybercrime/
