Facebook Ads、Instagram、またはTikTokでマルチアカウントを扱っている場合、プロキシへのアクセスを失うことは、コンプロマイズされたIPに関連付けられたすべてのアカウントの禁止につながる可能性があるため、災害になる可能性があります。プロキシ用の二要素認証(2FA)は、プロバイダーのダッシュボードとプロキシ自体への不正アクセスからの追加の保護レベルです。このガイドでは、プロキシを保護するための2FAの設定方法、存在する方法、アービトラージャーやSMM専門家にとってなぜ重要であるかを解説します。
プロキシにとって二要素認証が重要な理由
プロキシは単なるIP変更のツールではありません。アービトラージャーやSMM専門家にとっては、数十の広告アカウントやクライアントプロファイルへの鍵です。もし攻撃者がプロキシプロバイダーのダッシュボードにアクセスできた場合、彼は以下のことができます:
- プロキシのデータを盗む(IP、ポート、ログイン、パスワード)し、自分の目的に使用する — あなたのIPはFacebook、Instagram、TikTokのアンチフロードシステムのデータベースに登録されることになります。
- IP認証の設定を変更することで、あなたのプロキシへのアクセスをブロックする。
- あなたのプロキシを第三者に販売する — 結果として、1つのIPが複数の人によって使用され、禁止されることが保証されます。
- 使用履歴にアクセスする — あなたが訪れたサイトや、どのアカウントを温めていたかを見ることができます。
実際のケース:アービトラージャーがフィッシングのためにプロキシプロバイダーのアカウントへのアクセスを失いました。攻撃者は50 モバイルプロキシのデータを取得し、Facebook Adsアカウントのファーミングに使用されました。24時間以内にすべての200の広告アカウントが禁止されました — Facebookは同じIPからの疑わしい活動を記録しました。損失は15,000ドル以上(凍結された広告予算 + アカウントのコスト)に達しました。
二要素認証はこの問題を解決します:攻撃者があなたのパスワードを知ってしまった場合(フィッシング、データベースの漏洩、または推測を通じて)、彼はGoogle Authenticator、SMS、またはハードウェアキーからの一時的なコードなしではアカウントにログインできません。
プロキシを使用する際に2FAが防ぐ脅威
二要素認証は、プロキシユーザーに関連する特定の攻撃シナリオから保護します:
1. フィッシングと偽のログインページ
攻撃者は人気のあるプロキシプロバイダーのサイトのコピーを作成し、メールやTelegramを通じてリンクを送信します。あなたが偽のページにログイン情報を入力すると、データが攻撃者に送信されます。2FAが有効になっている場合、盗まれたパスワードは一時的なコードなしでは無意味です。
2. データベースの漏洩
プロキシプロバイダーと他のサービス(フォーラムやマーケットプレイスなど)で同じパスワードを使用している場合、いずれかのデータベースが漏洩するとプロキシへのアクセスが危険にさらされます。2FAは、パスワードを再利用している場合でも保護レベルを追加します(これは悪い習慣ですが)。
3. 公共Wi-Fiでのトラフィックの傍受
保護されていないWi-Fi(空港、カフェ)を通じてプロキシプロバイダーのパネルにアクセスする場合、攻撃者はセッションを傍受することができます。2FAがあれば、傍受されたセッションでも重要な操作(IP認証の設定変更、パスワードの変更)にはアクセスできません。
4. 元従業員やパートナーのアクセス
チームで作業している場合、請負業者や従業員とプロキシへのアクセスを共有していると、協力が終了した後にパスワードを保持される可能性があります。2FAは、あなたのデバイスへの物理的なアクセスなしにはアカウントにログインできないことを保証します。
プロキシ用の二要素認証の方法
プロキシプロバイダーは、いくつかの2FAの方法を提供しています。選択は、必要なセキュリティレベルと使いやすさによって異なります:
| 2FAの方法 | セキュリティレベル | 使いやすさ | 使用するタイミング |
|---|---|---|---|
| Google Authenticator / Authy | 高い | 高い | アービトラージャーやSMMの個人アカウント用 |
| SMSコード | 中程度 | 中程度 | アプリへのアクセスがない場合 |
| メールコード | 低い | 高い | 推奨されません(メールが簡単にコンプロマイズされるため) |
| ハードウェアキー(YubiKey) | 非常に高い | 中程度 | 重要なデータを持つチーム用 |
Google AuthenticatorとAuthy:推奨方法
認証アプリ(Google Authenticator、Authy、Microsoft Authenticator)は、TOTP(Time-based One-Time Password)アルゴリズムに基づいて一時的なコードを生成します。コードは30秒ごとに更新され、オフラインで動作します — インターネットやモバイル通信は必要ありません。
アービトラージャーやSMMへの利点:
- 通信事業者に依存しない(SMSとは異なり) — コードはローカルで生成されます
- 傍受から保護されています — コードはSS7攻撃を通じて傍受されることはありません(SMSに関連)
- Authyはバックアップをサポートしています — 新しいデバイスでアクセスを回復できます
- 無料で、iOS、Android、Windows、macOSで動作します
SMSコード:いつ受け入れられるか
SMSコードは便利ですが、SS7の脆弱性やSIMスワップ攻撃(攻撃者があなたのSIMカードを自分名義に変更する)による傍受の可能性があるため、セキュリティが低下します。SMSを使用するのは次の場合のみ:
- プロキシプロバイダーが認証アプリをサポートしていない
- 低リスクのタスク(例えば、価格のスクレイピングなど)を扱っている
- アプリを持つスマートフォンにアクセスできない
プロキシプロバイダーのパネルでの2FAの設定:ステップバイステップガイド
ほとんどのプロキシプロバイダー(ProxyCoveを含む)は、Google Authenticatorを通じて2FAの設定を提供しています。プロセスは2〜3分かかります:
ステップ1:認証アプリをインストールする
Google Authenticator(iOS、Android)またはAuthy(iOS、Android、Windows、macOS)を公式アプリストアからダウンロードします。デバイス間でコードを同期したい場合は、Authyが好ましいです。
ステップ2:プロキシプロバイダーのダッシュボードにログインする
プロバイダーのウェブサイトで管理パネルを開きます。「セキュリティ」または「アカウント設定」セクションに移動します(名称は異なる場合があります)。
ステップ3:二要素認証を有効にする
「2FAを有効にする」または「二要素認証」のオプションを見つけます。システムはQRコードとテキストキー(秘密のコード)を表示します。
ステップ4:アプリでQRコードをスキャンする
Google AuthenticatorまたはAuthyを開き、「アカウントを追加」をクリックし、「QRコードをスキャン」を選択します。カメラをブラウザのQRコードに向けます。アプリは自動的にアカウントを追加し、コードの生成を開始します。
重要:カメラが機能しない場合は、QRコードの下に表示されるテキストキー(Secret Key)を手動で入力してください。
ステップ5:最初のコードを入力して確認する
アプリは6桁のコードを表示します。そのコードをプロバイダーのウェブサイトの「確認コード」フィールドに入力し、「確認」をクリックします。コードが受け入れられた場合、2FAが有効になります。
ステップ6:バックアップコードを保存する
有効化後、システムは10〜12のバックアップコードを表示します。安全な場所(パスワードマネージャー、暗号化されたファイル)に保存してください。これらのコードを使用すると、認証アプリへのアクセスを失った場合にアカウントにログインできます。
設定後、プロキシプロバイダーのパネルへの各ログインにはアプリからのコードの入力が必要になります。これには5〜10秒かかりますが、セキュリティが大幅に向上します。
2FAの代替としてのIP認証:利点と欠点
一部のプロキシプロバイダーはIP認証を提供しています — プロキシに接続するためにログインとパスワードの代わりに、ホワイトリストに自分のIPアドレスを指定します。これにより、アンチデテクトブラウザでの設定が簡素化されます(ログイン/パスワードを入力する必要がありません)が、リスクも生じます:
| 側面 | IP認証 | ログイン/パスワード + 2FA |
|---|---|---|
| 設定の便利さ | 高い(データを入力する必要がない) | 中程度(ログイン/パスワードを入力する必要がある) |
| セキュリティ | 低い(IPが漏洩した場合、プロキシが利用可能になる) | 高い(パスワード + 2FAコードが必要) |
| 動的IPでの作業 | 不便(ホワイトリストでIPを更新する必要がある) | 便利(どのIPからでも動作する) |
| 異なる場所からのアクセス | 難しい(各IPを追加する必要がある) | 簡単(ログイン/パスワードはどこでも機能する) |
推奨:静的IPを持ち、1つの場所(オフィス、自宅)から作業している場合のみIP認証を使用してください。頻繁に場所を変更したりVPNを使用したりするアービトラージャーやSMMには、ログイン/パスワードと2FAを使用する方が良いです。プロバイダーが許可している場合は、両方の方法を組み合わせて使用してください:プロキシ用のIP認証 + 個人ダッシュボード用の2FA。
アンチデテクトブラウザにおけるプロキシの保護:Dolphin Anty、AdsPower、Multilogin
アンチデテクトブラウザ(Dolphin Anty、AdsPower、Multilogin、GoLogin)は、プロキシの設定をプロファイルに保存します。攻撃者があなたのアンチデテクトブラウザのアカウントにアクセスできた場合、すべてのプロキシのデータが見えてしまいます。どのように保護するか:
1. アンチデテクトブラウザで2FAを有効にする
Dolphin Anty、AdsPower、Multiloginは、アカウントへのログインのために二要素認証をサポートしています。プロキシプロバイダーと同様に設定してください(Google Authenticatorを通じて)。これにより、プロキシのデータを持つプロファイルへの不正アクセスを防ぐことができます。
2. プロファイルの暗号化を使用する
一部のアンチデテクトブラウザ(例えば、Multilogin)は、プロファイルのローカルデータをパスワードで暗号化することを許可しています。誰かがあなたのコンピュータにアクセスできた場合でも、パスワードなしではプロファイルを開くことはできません。
3. プロキシのパスワードをブラウザに保存しない
プロキシプロバイダーがIP認証をサポートしている場合、ログイン/パスワードの代わりにそれを使用してアンチデテクトブラウザに接続してください。これにより、プロキシのデータがプロファイルに保存されることはありません。
4. プロキシのパスワードを定期的に変更する
レジデンシャルプロキシをローテーションで使用している場合、プロバイダーはアクセスパスワードを変更することを許可することがあります。特にチームで作業している場合は、毎月これを行ってください。
チーム内でのプロキシへの安全なアクセスの分配
チーム(メディアバイヤー、デザイナー、ターゲティングスペシャリスト)と作業している場合、プロキシへのアクセスを正しく共有する必要があります。Telegramやメールでのログインとパスワードの伝達は、漏洩のリスクがあります。安全なアクセスをどのように組織するか:
オプション1:プロバイダーでサブアカウントを使用する
一部のプロキシプロバイダーは、制限された権限を持つサブアカウントを作成することを許可しています(例えば、IPやポートの表示のみ、請求や設定変更へのアクセスなし)。各従業員のために別のサブアカウントを作成し、解雇時にアクセスを取り消してください。
オプション2:パネルへのアクセスではなく、IPとポートのみを渡す
個人ダッシュボードのログインとパスワードを渡す代わりに、従業員の作業場所用にIP認証を設定し、接続データ(IP:ポートまたはIP:ポート:ログイン:パスワード)だけを渡します。これにより、従業員はプロキシを使用できますが、管理パネルへのアクセスは得られません。
オプション3:共有アクセスを持つパスワードマネージャーを使用する
1Password、Bitwarden、LastPassなどのサービスは、制限されたアクセスを持つ共有パスワードストレージを作成することを許可しています。プロキシのデータをパスワードマネージャーに保存し、必要な従業員にのみアクセスを提供します。従業員が解雇された場合は、ストレージへのアクセスを取り消し、パスワードを変更します。
バックアップコードと2FAを失った場合のアクセスの回復
Google Authenticatorを持つ電話を失った場合や、システムを再インストールした場合はどうすればよいですか?バックアップコードがない場合、プロキシプロバイダーのアカウントへのアクセスを失います。どのように備えるか:
2FA設定後すぐにバックアップコードを保存する
2FAを有効にすると、システムは10〜12の一時的なバックアップコードを表示します。それらをコピーして以下に保存してください:
- パスワードマネージャー(1Password、Bitwarden)
- クラウドドライブ上の暗号化されたファイル(Google Drive、Dropboxの暗号化)
- 安全な場所に保管された紙の媒体(重要なアカウント用)
Google Authenticatorの代わりにAuthyを使用する
Authyは、クラウドでのコードのバックアップをサポートしています(暗号化されています)。電話を失った場合は、新しいデバイスにAuthyをインストールし、アカウントにログインしてすべてのコードを復元します。Google Authenticatorにはこの機能はありません。
秘密のキー(Secret Key)を保存する
2FAを設定する際、システムはQRコードとテキストの秘密のキー(例えば、JBSWY3DPEHPK3PXP)を表示します。このキーを保存してください — 新しいアプリにアカウントを手動で追加することでアクセスを回復できます。
アクセスを失い、バックアップコードがない場合はどうすればよいか
電話を失い、バックアップコードと秘密のキーを保存しなかった場合、唯一の選択肢はプロキシプロバイダーのサポートに連絡することです。必要なものは:
- 本人確認(通常はアカウントを登録したメールを通じて)
- 最近の支払いの詳細を提供する(トランザクション番号、金額、日付)
- セキュリティ質問に回答する(登録時に設定した場合)
回復プロセスは数時間から2〜3日かかることがあります。この間、管理パネルにログインしてプロキシの設定を変更することはできません(ただし、プロキシ自体は引き続き機能します)。
セキュリティチェックリスト:プロキシをハッキングから保護する方法
二要素認証は重要ですが、セキュリティの唯一の要素ではありません。包括的なアプローチを使用してください:
✅ 必須対策(すべての人向け)
- プロキシプロバイダーのアカウントで2FAを有効にする — Google AuthenticatorまたはAuthyを使用
- ユニークなパスワードを使用する — 他のサービスのパスワードを繰り返さない(HaveIBeenPwnedで確認)
- バックアップコードを保存する — パスワードマネージャーまたは暗号化されたファイルに
- 公共のWi-Fiを通じてパネルにアクセスしない — VPNまたはモバイルインターネットを使用
- プロバイダーのウェブサイトのURLを確認する — 公式ドメインであることを確認する(フィッシングのコピーではない)
⚡ 追加の対策(チームや重要なプロジェクト向け)
- アンチデテクトブラウザで2FAを有効にする — プロキシデータを持つプロファイルを保護する
- IP認証 + ログイン/パスワードを使用する — プロキシへの接続の二重保護
- 従業員用のサブアカウントを作成する — メインアクセスを渡す代わりに
- アクティブなセッションを定期的に確認する — プロバイダーのパネルで、誰がいつアカウントにアクセスしたかを確認する
- 3ヶ月ごとにパスワードを変更する — 特に請負業者と作業している場合
🔒 高度な対策(パラノイアや高リスクプロジェクト向け)
- ハードウェアキー(YubiKey)を使用する — 認証アプリの代わりに
- プロキシ用に別のメールを作成する — メインメールに関連付けない
- ログイン通知を設定する — アカウントへのログインごとにメールを受け取る
- プロバイダーのパネルへのアクセスにVPNを使用する — 実際のIPを隠す
- プロキシのデータを暗号化されたストレージに保存する — VeraCryptまたはBitLocker
結論
プロキシ用の二要素認証は、パラノイアではなく、アービトラージャー、SMM専門家、マルチアカウントを扱うすべての人にとっての基本的なセキュリティ対策です。プロキシプロバイダーのアカウントがハッキングされると、数十の広告アカウントが禁止され、クライアントデータの漏洩や金銭的損失につながる可能性があります。Google AuthenticatorやAuthyを通じて2FAを設定するのに2〜3分かかりますが、フィッシング、データベースの漏洩、パスワードの傍受による99%の攻撃から保護します。
バックアップコードと秘密のキーを必ず保存してください — それらがないとアクセスの回復には数日かかります。チームで作業している場合は、メインアクセスを渡す代わりにサブアカウントやパスワードマネージャーを使用してください。2FAをユニークなパスワード、IP認証、アンチデテクトブラウザのプロファイルの暗号化などの他の対策と組み合わせて使用してください。
Facebook、Instagram、またはTikTokでマルチアカウントを扱う予定がある場合は、2FAとIP認証をサポートするプロバイダーを選ぶことをお勧めします。このようなタスクには、モバイルプロキシが最適です — プラットフォームからの信頼度が高く、ブロックのリスクが最小限に抑えられ、二要素認証と組み合わせることでアカウントの最大の保護を提供します。