Big Mamaという無料VPNアプリが、人々の自宅のインターネットネットワークへのアクセスを販売している。子どもたちがVRゲームでチート行為に利用している一方で、研究者たちはより大きなセキュリティリスクを警告している。
写真イラスト: WIREDスタッフ、ゲッティイメージズ
大人気VRゲーム「ゴリラタグ」では、腕を振り回して猿のキャラクターを引っ張りながら、仮想世界をよじ登り、木登りをし、そして何よりも、他のプレイヤーの感染集団から逃れようとします。もし捕まれば、その集団に加わることになります。しかし、このゲームをプレイしている子供たちの中には、相手を簡単に「タグ」するチート方法を見つけたと主張する人もいます。
過去1年間、ティーンエイジャーたちがMetaのVRヘッドセットに仮想プライベートネットワーク(VPN)をサイドロードし、位置情報変更技術を使ってゲームで優位に立つ方法を紹介するビデオチュートリアルを制作してきた。チュートリアルによると、VPNを使用すると遅延が発生し、他のプレイヤーに忍び寄ってタグ付けしやすくなるという。
この回避策は、面倒ではあるものの比較的無害なゲーム内チートと言えるでしょう。しかし、落とし穴があります。動画チュートリアルで紹介されている無料VPNアプリ「Big Mama VPN」は、ユーザーの自宅のインターネット接続へのアクセスも販売しているのです。つまり、購入者はVRヘッドセットのIPアドレスを利用して、自分のオンラインアクティビティを隠していることになるのです。
このトラフィックをリダイレクトする手法は、住宅プロキシとして最もよく知られており、一般的には電話を介して行われますが、プロキシネットワークを利用してサイバー攻撃を実行し、ボットネットを利用するサイバー犯罪者の間でますます人気が高まっています。Big Mama VPNは期待通りに機能しますが、同社の関連プロキシサービスはサイバー犯罪フォーラムで大いに宣伝されており、少なくとも1件のサイバー攻撃との関連性が公に示されています。
サイバーセキュリティ企業トレンドマイクロの研究者は、今年初めに脅威インテリジェンスの住宅プロキシデータにMetaのVRヘッドセットが登場するのを初めて発見し、その後、ティーンエイジャーがBig Mamaを使ってGorilla Tagをプレイしていることを突き止めました。トレンドマイクロがWIREDに提供した未発表の分析によると、同社のデータによると、Big Mama VPNアプリを使用するデバイスの中で、VRヘッドセットはSamsungとXiaomiのデバイスに次いで3番目に人気があったとのことです。
「ダウンロードしたのであれば、あなたのデバイスがBig Mamaのマーケットプレイスで販売されている可能性が非常に高いです」と、トレンドマイクロのシニア脅威研究者であるスティーブン・ヒルト氏は述べています。ヒルト氏によると、Big Mama VPNは無料であり、アカウント作成の必要がなく、データ制限もないことから利用されている可能性もあるものの、セキュリティ研究者は以前から、無料VPNの使用はプライバシーとセキュリティのリスクにつながる可能性があると警告しています。
これらのリスクは、アプリが住宅用プロキシにリンクされている場合にさらに増大する可能性があります。プロキシは「悪意のある人物があなたのインターネット接続を悪用し、攻撃に利用する可能性を秘めています。つまり、あなたのデバイスと自宅のIPアドレスが、企業や国家に対するサイバー攻撃に巻き込まれる可能性があるのです」とヒルト氏は述べています。
「ゴリラタグは友達と楽しく遊び、創造性を発揮する場所です。それを阻害するような行為は許しません」と、ゴリラタグの開発元であるアナザー・アクシオムの広報担当者は述べ、疑わしい行為を検出するために「アンチチートメカニズム」を使用していると付け加えた。メタ社は、ヘッドセットにVPNがサイドロードされていることについてコメント要請に応じなかった。
プロキシの台頭
Big Mamaは2つの部分で構成されています。1つはAndroidデバイス向けのGoogle Playストアで入手可能で、100万回以上ダウンロードされている無料のVPNアプリです。もう1つはBig Mama Proxy Networkで、これは(他のオプションの中でも)「本物の」4Gおよび家庭用Wi-Fi IPアドレスへの共有アクセスを24時間わずか40セントで購入できるサービスです。
オレンジ・サイバーディフェンスで住宅型プロキシ市場全体を調査してきたサイバー脅威インテリジェンス・チーム・マネージャー、ヴィンセント・ヒンダーラー氏は、住宅型プロキシが利用されるシナリオは様々であり、トラフィックをデバイス経由でルーティングするユーザーだけでなく、プロキシサービスを売買するユーザーにも利用されると述べている。「法的にも倫理的にもグレーゾーンになることがある」とヒンダーラー氏は語る。
ヒンダーラー氏によると、プロキシネットワークの活用方法としては、企業が競合他社のウェブサイトから価格情報をスクレイピングする手段としてネットワークが利用される可能性がある。他にも、広告の検証や、セール期間中にスニーカーを転売する人々などが利用される可能性がある。倫理的に問題があると考えられるかもしれないが、必ずしも違法ではない。
一方、Orangeの調査によると、住宅用プロキシネットワークは、ロシアのハッカーによるサイバースパイ活動、ソーシャルエンジニアリング、DDoS攻撃、フィッシング、ボットネットなど、幅広く利用されている。「サイバー犯罪者はそれを故意に利用しています」とヒンダーラー氏は住宅用プロキシネットワーク全般について述べ、Orange Cyberdefenseは調査したサイバー攻撃に関連するログにプロキシトラフィックが頻繁に含まれていることを確認している。Orangeの調査では、Big Mamaのサービスの利用状況は具体的に調査されていない。
ヒンダーラー氏によると、プロキシネットワークで自分のデバイスが使用され、接続料が支払われることに同意する人もいるが、サービスの利用規約で同意したために含められる人もいる。調査では以前から、人々が利用規約を読んだり理解したりすることはあまりないことが示されている。
Big Mamaは、同社のVPNを利用すると、他のトラフィックが自身のネットワークを経由してルーティングされることを隠していません。アプリ内では、VPNに接続しているデバイスを介して「他の顧客のトラフィックを転送する可能性がある」と記載されており、利用規約やFAQページでもアプリが無料である理由について言及されています。
Big Mama Networkのページでは、プロキシは広告検証、オンラインチケット購入、価格比較、ウェブスクレイピング、SEOなど、様々な用途に利用できると宣伝されています。ユーザーがサインアップすると、プロキシデバイスが設置されている場所、インターネットサービスプロバイダー、そして各接続の料金のリストが表示されます。
このマーケットプレイスでは、本稿執筆時点でアラブ首長国連邦で21,000件、米国で4,000件、その他多数の国で数十から数百件のIPアドレスが販売されています。支払いは暗号通貨のみで可能です。利用規約には、ネットワークは「合法的な目的」のみに提供されており、詐欺などの違法行為に利用した者は利用を禁止されると記載されています。
にもかかわらず、サイバー犯罪者はこのサービスに強い関心を示しているようだ。トレンドマイクロの分析によると、Big Mamaは、サイバー犯罪者が悪意のある目的でツールの購入について議論する地下フォーラムで定期的に宣伝されているという。投稿は2020年に始まった。同様に、イスラエルのセキュリティ企業Kelaは、40の異なるフォーラムとTelegramチャンネルで、Big Mamaプロキシネットワークに関連する1,000件以上の投稿を発見した。
WIREDが入手したKelaの分析によると、「bigmama_network」および「bigmama」というアカウントが、WWHClub、Exploit、Carderといったサイバー犯罪フォーラムを含む少なくとも10のフォーラムに投稿していた。広告には、Big Mamaの価格、無料トライアル、Telegramなどの連絡先情報が記載されていた。
誰がこれらの投稿をしたのかは不明だが、ビッグ・ママはWIREDに対し、広告は出していないと語っている。
これらのアカウントの投稿には、「匿名」ビットコイン決済が利用可能であることなどが記載されていました。Kelaの分析によると、これらの投稿の大部分は2020年から2021年頃に行われたものです。ただし、「bigmama_network」というアカウントは、今年10月までclearwebのBlackhat World SEOフォーラムに投稿を続けており、Telegramアカウントが複数回削除されたと主張しています。
Kelaの分析によると、昨年の他の投稿では、サイバー犯罪フォーラムのユーザーがBig Mamaを推奨したり、使用すべき設定に関するヒントを共有したりしていました。今年4月、セキュリティ企業のCisco Talosは、Big Mamaプロキシをはじめとするプロキシからのトラフィックが、様々な企業システムへの総当たり攻撃を試みる攻撃者に利用されていることを確認したと発表しました。
矛盾したメッセージ
ビッグママのウェブサイトには、その所有権や経営陣に関する詳細情報がほとんど記載されていません。同社の利用規約には、BigMama SRLという事業体がルーマニアに登録されていると記載されていますが、2022年の以前のウェブサイト、そして現在も稼働中の少なくとも1つのページには、ワイオミング州にあるBigMama LLCの法定住所が記載されています。ワイオミング州務長官のウェブサイトによると、この米国拠点の事業は4月に解散し、現在は非アクティブとなっています。
Alex Aという名を名乗る人物が、WIREDからのBig Mamaの運営方法に関するメールに返信しました。メールの中で、Big Mamaネットワークを通じて第三者に販売されている無料ユーザーの接続情報は「アプリマーケットとアプリ自体に複数回重複して掲載されている」と述べており、ユーザーはVPNを利用するために利用規約に同意する必要があるとのことです。Big Mama VPNは公式にはGoogle Playストアからのみ入手可能とのことです。
「ご指摘のフォーラムでは、弊社のサービスを宣伝しておりませんし、これまで一度も宣伝したこともありません」とメールには記されている。Talosが4月に同社のネットワークがサイバー攻撃に利用されたという調査結果を公表したが、その事実は認識していなかったという。「スパム、DDOS、SSH、ローカルネットワークなどをブロックしています。法執行機関に協力するため、ユーザーアクティビティのログを記録しています」とメールには記されている。
Alex AのペルソナはWIREDに対し、サイバー犯罪フォーラムの広告、Talosの調査結果、そしてOculusデバイスでBig Mamaを使用しているティーンエイジャーに関する情報について、より詳細な情報を提供するよう求め、さらなる質問には「喜んで」答えるとした。しかし、調査結果に関する追加情報やセキュリティ対策、誰かがBig Mamaになりすましてサイバー犯罪フォーラムに投稿しているのではないかという疑念、Alex Aの身元、そして会社の経営者について質問するメールには返答がなかった。
トレンドマイクロのヒルト氏は、分析中にBig Mama VPNにセキュリティ上の脆弱性を発見したと述べています。この脆弱性が悪用された場合、プロキシユーザーが他者のローカルネットワークにアクセスできる可能性があります。トレンドマイクロはこの脆弱性をBig Mamaに報告し、Big Mamaは1週間以内に修正したと述べており、アレックス・A氏がこの詳細を確認しました。
ヒルト氏は、結局のところ、無料VPNをダウンロードして使用する際には、常に潜在的なリスクが伴うと述べています。「すべての無料VPNには、プライバシーやセキュリティ上の懸念が伴います」と彼は言います。これは、VRヘッドセットにVPNをサイドロードする人にも当てはまります。「公式ストア以外のアプリケーションをインターネットからダウンロードする場合、それが自分が思っているものとは違うというリスクが常に存在します。そして、それはOculusデバイスでも同様です。」
あなたの受信箱に:毎日あなたのために厳選された最大のニュース
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
