先日、マイノートでこんな記事を書きました。
第一報はWSJだったのですが、関係先から続報も出てきていて、影響範囲も思った以上にさらに広いことが分かりホクホクです。ありがとうGoogle。
Google Aims Knockout Blow at Chinese Company Linked to Massive Cyber Weapon
クロマティ高校のモニタリング先で言えば、中華ボットと思しきTwitter(X)、Threads、Instagram、TikTokなど日本語圏SNSで監視していた14万アカウントぐらいが一気にフリーズしており、Ipidea社がおそらく使っていたドメインとプロキシが使えなくなったため、ログインすることもできずという状態なのではないかと思います。やったぜ☆ ワイは何もしていないけど。
改めて状況を整理しますと、26年1月28日、Googleは米国連邦裁判所の命令を得て、世界最大規模の住宅プロキシネットワーク「IPIDEA」に致命的な打撃を与えました。中国企業が運営するこのネットワークは、世界中の数百万台ものスマホや家庭用コンピュータ、あるいは中華製Android TVやケーブルテレビ用セットトップボックスなどをひそかに乗っ取り、国家支援型ハッカー集団を含む550以上の脅威グループに「匿名性のインフラ」を提供していたのです。
この事案は、いわゆる普通の単なるサイバー犯罪組織の摘発ではありません。むしろ、日本にとって対岸の火事ではまったくなく、起きた事象を整理する限り日本語圏も攻撃の対象となっていたことは明白です。その点で、割とガッツリと日本社会が直面するデジタルセキュリティの構造的脆弱性を浮き彫りにする警鐘でしょう。大変なことだ。で、IPIDEAとは何だったのかを技術的に整理した上で、日本の消費者・産業界・政府行政への影響を多角的に検証し、今後の政策的課題を提示せんと夜も寝られません。
今回標的になった住宅プロキシネットワークとは、一般家庭のインターネット回線を中継点として悪用するインフラです。家庭用サーバもあれば、テレビやスマート家電なども含まれますが、原則としてAndroidOSとそれの上に乗っかるSDKがキーになってます。そして、通常のプロキシサービスはデータセンターのIPアドレスを使用するため、なんか変な通信があるぞとなれば、セキュリティシステムによって容易に検出・遮断されます。しかしながら、住宅プロキシは、私たちの自宅回線を「出口ノード」として利用するため、攻撃トラフィックが一般消費者の通信と見分けがつきません。つまり、変な通信と見極めるためのハードルが高く、長い時間潜伏されやすく、またOSの更新が滞るとたちまちでっかいゼロデイが発生しやすい環境であると言えます。
問題となった中華IPIDEAは表向き、「フォーチュン500企業に信頼される」正当なプロキシサービスを謳い、ウェブスクレイピングやブランド保護、SEO監視といったビジネス用途を宣伝していました。同社の公式サイトは60カ国以上で6,000万以上の住宅IPアドレスを提供できると誇示し、多くの企業顧客を抱えていたのです。
しかしながらこのIPIDEAの実態は、2024年に米国財務省から制裁を受けた悪名高い「911 S5ボットネット」の後継組織でした。というか、ほぼそのものであったと言えます。911 S5は1,900万以上のIPアドレスを世界中で感染させ、米国だけで56億ドル以上の詐欺被害をもたらしたとされていますが実際には、その数倍の被害があったのではないかとも言われておる次第です。まあ正直なところ、過去に踏まれた違法広告での収益なんてどこまでがどうなのかよく分からんと言われれば仕方ないところなのですが… で、その911 S5の摘発後、その顧客基盤と技術インフラを本格的に引き継いだのがIPIDEAであったわけです。事業者の風にやってましたが… 実際には、同社は922 Proxy、360 Proxy、Luna Proxy、PyProxy、PIA S5 Proxyなど19以上の割とヤバめなプロキシブランドを傘下に収め、表面上は独立したサービスのように見せかけながら、実際には単一の制御下にある巨大ネットワークを運営していました。
んで、IPIDEAは4つのSDK(ソフトウェア開発キット)を通じて消費者のデバイスを「調達」していました。PacketSDK、EarnSDK、HexSDK、CastarSDKと呼ばれるこれらのツールは、アプリ開発者に金銭的インセンティブを与え、一見無害なアプリにプロキシコードを埋め込ませたのです。Googleの調査によれば、600以上のAndroidアプリと3,075のWindows実行ファイルがこのインフラに接続されていたことを確認していると言いますから、まあ本腰でやっとったんだなという印象です。
特に悪質だったのは、無料VPNアプリを通じた感染と見られる事案です。Radish VPN、Door VPN、Galleon VPNといったアプリは、広告通りの機能を提供しながら、ユーザーの同意なくデバイスを「出口ノード」として登録していました。派生したモノによってはユーザーが絶対に開けない隠しファイルの中に実行コードが格納されていたとかで、ユーザーは自分のスマホが世界中のサイバー攻撃の踏み台にされていることを知る由もなかったのです。当然、気づかないわけですからその端末(スマホ)を使わなくなるまで延々と不審な通信を垂れ流すことになるわけですが、これらがVPNを通じて感染後、普通のホームネットワークからDDosなどの攻撃ツールや詐欺広告クリックなどのアドフラウド、果ては不正なアカウント取得ボットやゴミ発信用のボットネットに化けてしまうのですから怖ろしいと言えます。
このIPIDEAが特に深刻な脅威となったのは、同社のインフラを踏み台にして構築された「Kimwolf」ボットネットの存在があったからです。ロチェスター工科大学の学生でセキュリティ企業Synthientの創業者でもあるベンジャミン・ブランデージさんが発見したこのボットネットは、最大30Tbps(テラビット毎秒)という史上最強クラスのDDoS攻撃能力を獲得していました。これらが各国の電力会社や金融機関に不正なトラフィックを増大させてたりしたため、大変な問題になったわけであります。
過去の攻撃などとの比較をすると理解しやすいと思うんすが、2023年にGoogleが防御した過去最大級のDDoS攻撃は398Gbpsでした。Kimwolfはざっくりその75倍以上の攻撃力を持っています。そして、それらは毎日増大していたとみられるんですよね。この規模の攻撃を受ければ、大手クラウドサービスでさえ機能停止に追い込まれる可能性があります。
Kimwolfが急速に拡大した背景には、IPIDEAネットワーク内のAndroidデバイスの67%がAndroid Debug Bridge(ADB)のポート5555を認証なしで公開していたという事実があります。まあザルというか。ADBはアプリ開発者がデバッグに使用するツールですが、不適切な設定のまま放置されると、外部から任意のコマンドを実行できる「裏口」となります。ブランデージさんの報告によれば、この脆弱性を突くことで、わずか数日で200万台以上のデバイスがKimwolfに感染しました。何よりこれは、脆弱性と言ってもバグではなくGoogle様がAndroidを安全に運用するために良かれと思って作っておいた「仕様」だったことで、対処をむつかしくしていたわけであります。この約600万のIPアドレスが潜在的な攻撃対象として特定されており、被害はさらに拡大する可能性がありました。
Kimwolfの最も革新的かつ危険な点は、従来のボットネットとは異なる攻撃ベクトルを持っていたことです。単純な話、例えば感染したスマホが社内Wi-Fiに接続されれば、そのデバイスを足がかりとして、企業や政府機関のファイアウォールを迂回し、内部ネットワークに侵入できます。正規の通信なんだから、そりゃ通りますわな。この手法はBYOD(Bring Your Own Device)などシャドウITを許容する組織にとって致命的な脅威となります。従業員の私物スマホがIPIDEAのネットワークに組み込まれていた場合、その従業員が出社してWi-Fiに接続した瞬間、内部ネットワークが攻撃者に「開放」されるのです。セキュリティ企業Infobloxの調査では、2025年10月以降、クラウド顧客の約25%がKimwolf関連ドメインへのクエリを発していたことが判明しています。
日本国内でIPIDEA関連のSDKを組み込んだアプリがどの程度流通していたかの正確な数字は公表されていませんが、最近では某大手飲料メーカーが古いVPN端末を一台正規のシステムにぶら下げられていたのをリストサーチで発見され、そこからランサムウェアをやられて数百億円の損害を出したのも記憶に新しいところです。一方で、Google Play Storeで配布されていた600以上のアプリには、当然のことながら日本語対応のものも含まれていたと推測されます。特に無料VPNアプリは日本でも人気が高く、プライバシー保護や海外コンテンツへのアクセスを目的に多くの消費者がインストールしています。
Googleは今回の措置として、Google Play Protectを更新し、IPIDEA関連のSDKを含むアプリを検出・削除・インストール阻止する機能を実装しました。これは今後の感染拡大を防ぐ点では有効ですが、すでに感染済みのデバイスについては、ユーザー自身による確認と削除が必要となります。そして、先にも述べた通りユーザーが把握できない隠しファイルの中にあるものはおそらく対処はかなり困難です。
また、日本特有の問題として、家庭用ルーターの脆弱性があります。NICTの調査によれば、バッファロー製やTP-Link製のルーターでボットネット感染が急増しており、ファームウェアの更新を怠ったまま放置されている機器が攻撃の踏み台となっています。これらのルーターがIPIDEAネットワークの「出口ノード」として悪用されていた可能性は否定できません。
消費者が取るべき対策は明確です。まず、身に覚えのない無料VPNアプリや「帯域を売ってお金を稼ぐ」系のアプリを削除すること。てか、そういうのをまずやめろ。次に、ルーターのファームウェアを最新版に更新し、管理パスワードを変更すること。そして、Google Play Protectが有効になっていることを確認することです。
コロナ禍を経て、日本企業におけるBYOD(私物端末の業務利用)は急速に普及しました。企業や学校・大学としても、関わる従業員や生徒、関係者に一台一台端末を買いそろえてセキュリティレベルを維持する投資を行うのは大変です。なので、お前ら端末もってこいになるわけですが、当然、知識のない人のスマホやノートパソコンが安全なはずがないんです。総務省の調査によれば、テレワークを導入している企業の約4割がBYODを認めています。この傾向はコスト削減と従業員の利便性向上に寄与する一方、深刻なセキュリティリスクを内包しています。
Kimwolfの攻撃手法が示すように、感染した私物デバイスが社内ネットワークに接続された瞬間、ファイアウォールは無力化されます。従来のセキュリティ対策は「境界防御」を前提としていますが、内部からの脅威には対応しきれません。ゼロトラストアーキテクチャの導入が急務ですが、中小企業を中心に対応が遅れています。
IPIDEAネットワークは、国家支援型ハッカー集団による高度な攻撃の「匿名化レイヤー」としても機能していました。Googleの脅威インテリジェンスグループによれば、わずか7日間で中国、北朝鮮、イラン、ロシアの国家支援グループを含む550以上の脅威アクターがIPIDEAの出口ノードを使用していたのです。当然のことながら、日本においても変なDDoSやボットアカウントが急増していてSNSやらサイトやらが攻撃されまくっておったのですが、今回Google様がIpideaのドメインを差し押さえるとアラ不思議、一部のネットワークでは不審なトラフィックが4割も減ったじゃありませんか。
これらのグループが狙うのは、大企業だけではありません。サプライチェーンの弱点である中小企業を足がかりにして、最終的には大企業や政府機関に侵入する手法が常態化しています。警察庁の統計によれば、2025年も引き続きVPN機器からの侵入がランサムウェア感染の最大経路となっており、先の飲料メーカーや医療機器・医療カルテベンダーなどが標的とされてしまい、日本国内でも深刻な被害が相次いでいます。住宅プロキシを経由した攻撃は、発信元の特定が極めて困難です。日本国内の一般家庭のIPアドレスから攻撃が仕掛けられた場合、地理的フィルタリングも機能しません。この「見えない攻撃」への対処は、日本の産業界全体にとって喫緊の課題です。
IPIDEAの問題を日本政府のデジタル戦略と接続すると、より深刻な構造的課題が浮かび上がります。後述するインシデントでも詳述しますが、デジタル庁が推進するガバメントクラウドは、2024年10月時点で移行済みシステムの約97%がAWS(Amazon Web Services)を採用しています。併用を含めてもGoogle Cloud約5%、Oracle約3%、Azure約2%という偏りは、主要民主主義国家の中でも突出して高い単一ベンダー依存となっています。
この問題の本質は、セキュリティの脆弱性だけではありません。米国CLOUD法(Clarifying Lawful Overseas Use of Data Act)の下では、米国政府は国内法に基づき、AWSやMicrosoftなど米国企業が保有するデータへのアクセスを要求できます。データがどの国のサーバーに保存されているかは問われません。日本政府の機微情報が、法的には米国政府のアクセス対象となりうる構造が放置されているのです。
さらに深刻なのは、政府職員の日常業務を支えるGSS(Government Solution Service)のSaaS製品です。Microsoft 365とSlackが中心的なツールとして導入されていますが、これらのサービス経由での情報漏洩リスクは看過できません。
2023年には、中国政府関連グループStorm-0558がMicrosoft 365のメールシステムを侵害し、米商務長官のジーナ・レイモンドさんや駐中国米国大使のニコラス・バーンズさんを含む503人のアカウントが被害を受けました。この攻撃は約1カ月間検知されず、米国サイバー安全審査委員会は「Microsoftのセキュリティ上の連鎖的失敗」と厳しく評価しています。
重ねて、Slackについても懸念があります。つーかSaaSはどれも危ないっちゃ危ないわけですが、そもそも同サービスはエンドツーエンド暗号化に対応しておらず、2025年9月には日本経済新聞社で17,000人以上の情報が流出した恐れのあるインシデントも発生しました。当時は「何しとんねん」と思ってみてましたが、社内掲示板でSlackを採用している大手企業は続々とインシデントに見舞われ、報告を受け取るIPAがパンクしかねないほど大変なことになっています(現在進行形)。さらにはその便利さから本来システムの中で完結させるべきやり取りがシャドウIT的に外部に接続してしまい大変なことになるケースもあります。政府職員や金融機関従業員の皆さまがこれらのツールを通じて機微情報をやり取りしている現状が続いている場合は特に、早急な見直しが必要です。これらは、もっぱらkimwolfほかが定番でリスト化するものなので、危険倍増です。
日本が短期的に取り組むべきは、住宅プロキシネットワーク経由の攻撃に対する検知・対応能力の強化です。現行のサイバーセキュリティ戦略は境界防御を前提としていますが、IPIDEAやKimwolfのような脅威に対しては無力です。具体的には、ゼロトラストアーキテクチャの導入推進、フィッシング耐性MFA(多要素認証)の義務化、そしてBYOD端末のセキュリティ基準策定が急務です。特に中小企業向けの支援策を拡充し、サプライチェーン全体のセキュリティ底上げを図る必要があります。
GoogleによるIPIDEAネットワークの破壊は、民間企業によるサイバー犯罪インフラへの法的対抗手段として画期的な事例です。しかし、運営者が中国国内にいる以上、逮捕には至っておらず、過去の事例が示すように脅威アクターは適応して再構築する可能性が高いでしょう。
住宅プロキシネットワークの問題は、日本の消費者、産業界、政府行政のすべてに影響を及ぼします。無料VPNアプリをインストールした個人のスマホが、国家支援型ハッカーの攻撃インフラとなり、それがサプライチェーンを通じて大企業や政府機関に侵入する――この連鎖を断ち切るためには、技術的対策と政策的対応の両輪が不可欠です。というか、真っ先にまずはそれをやれ、話はそれからだ、という感じが強く致します。
Google脅威インテリジェンスグループの主席アナリスト、ジョン・ハルトクイストさんは今回の事案について「これは消費者問題であると同時に国家安全保障問題だ」と述べました。日本もまた、この二重の性格を持つ脅威に真剣に向き合う時が来ているのはまあ間違いないんじゃないでしょうかね。
衆院選真っ最中ですがいま分かって良かったですね。第一報を聞いたときは、ひょっとして、と思って各種確認後、ガッツポーズしてしまいました。私がやったわけでもないのにね。ありがとうGoogle。
やまもといちろうメールマガジン「人間迷路」
Vol.501 Googleによる悪質中華ボット撃退劇の解説をしつつ、衆院解散総選挙のゆくえを案じたり海外の未成年SNS利用規制動向などを語る回
2026年02月02日発行号 目次
【0. 序文】Google様が悪質中華ボット企業のドメイン差し押さえて壊滅させた話の補遺
【1. インシデント1】「なんか勝てる気がしてきたぞ」という俺たちの高市早苗解散総選挙のゆくえ
【2. インシデント2】未成年によるネットサービス利用の規制が世界各国で増えつつありそうな件
【3. 迷子問答】迷路で迷っている者同士のQ&A
【4. インシデント3】「ガバメントクラウド、そのままやるんすか」で起きる利益相反と情報漏洩リスク
やまもといちろうメールマガジン「人間迷路」のご購読はこちらから
その他の記事
|
今の京都のリアルから近い将来起きるであろう観光パニックについて考える(高城剛) |
|
|
ヘルスケアで注目したい腸のマネージメント(高城剛) |
|
|
湿度60%を超えたらご注意を(高城剛) |
|
|
旅行需要急増でのんびり楽しめる時間が残り少なくなりつつある南の島々(高城剛) |
|
「新聞を読んでいる人は、政治的、社会的に先鋭化された人」という状況について(やまもといちろう) |
|
|
「対面力」こそAIにできない最後の人の役割(高城剛) |
|
信仰者の譲れない部分(甲野善紀) |
|
なぜ今、「データジャーナリズム」なのか?――オープンデータ時代におけるジャーナリズムの役割(津田大介) |
|
|
国会議員は言うほど減らすべきか?(やまもといちろう) |
|
英語圏のスピリチュアル・リーダー100(鏡リュウジ) |
|
|
韓国情勢「再評価」で、問題知識人が炙り出されるリトマス試験紙大会と化す(やまもといちろう) |
|
|
先行投資か無謀な挑戦か ネット動画事業に関する是非と簡単な考察(やまもといちろう) |
|
|
人間にとって自然な感情としての「差別」(甲野善紀) |
|
|
辻元清美女史とリベラルの復権その他で対談をしたんですが、話が噛み合いませんでした(やまもといちろう) |
|
|
世界百周しても人生観はなにも変わりませんが、知見は広がります(高城剛) |
