無料プロキシを見つけて接続し、動作しています。しかし、「タダ」に喜んでいる間に、そのプロキシのオペレーターはあなたが入力するすべての情報を読むことができます:ログイン、パスワード、カード番号、広告アカウントのセッショントークン。これは理論ではなく、無料プロキシサービスでのデータ盗難の文書化された仕組みです。
この記事では、プロキシを通じたデータ盗難がどのように機能するのか、使用前に任意のプロキシを確認する方法、そしてアービトラージャー、SMM専門家、マーケットプレイスの販売者が特に脆弱である理由を解説します。
無料プロキシサービスが実際にどのように収益を上げるか
どんな常識的な人でも最初に考えるべき質問は、「なぜ誰かが無料でプロキシサーバーを維持するのか?」ということです。サーバーにはコストがかかります。トラフィックにもコストがかかります。サポートにもコストがかかります。お金を払わない場合、他の何かで支払っています。
ここでは、誰もが美しいインターフェースのウェブサイトで教えてくれない無料プロキシの実際のビジネスモデルを紹介します:
モデル 1: トラフィックの傍受と販売
プロキシサーバーのオペレーターは、あなたのすべてのHTTPトラフィックをオープンな形で見ることができます。訪問するサイトが保護されていない接続を使用している場合、ログインとパスワードは通常のテキストとして送信されます。オペレーターはこれらのデータを収集し、クローズドフォーラムでアカウントデータベースを販売します。10,000アカウントのFacebookデータベースは、アカウントの「質」に応じて200ドルから2,000ドルの間で販売されます。
モデル 2: SSLストリッピングとHTTPS攻撃
多くの人は「HTTPSがあるから、すべてが暗号化されていて、プロキシは何も見えない」と考えています。これは危険な誤解です。SSLストリッピング攻撃が存在します:プロキシは保護された接続が確立される前にあなたのリクエストを傍受し、HTTPSをHTTPに置き換えます。ブラウザは保護されていない接続を表示しますが、ほとんどのユーザーはそれに気づきません。その結果、パスワードやカード情報を含むすべてのトラフィックが攻撃者のサーバーを通じてオープンな形で流れます。
モデル 3: 証明書の置換(中間者攻撃)
より高度なスキームは、ユーザーのデバイスに独自のルート証明書をインストールすることです。これにより、プロキシはHTTPSトラフィックを復号化し、その内容を読み取り、再び送信先サーバーに送信する前に暗号化します。ユーザーはブラウザで緑の鍵を見て何も疑わずにいます。これは一部の企業プロキシがこのように機能する方法ですが、詐欺サービスも同様に機能する可能性があります。
モデル 4: あなたのIPを出口ノードとして使用
一部の「無料」VPNやプロキシアプリは、ユーザーのデバイスを他のクライアントのためのプロキシサーバーとして使用します。つまり、あなたのインターネット回線とあなたのIPアドレスを通じて、他の誰かが何でも行うことができます — パース、スパムの送信、操作の増加、最悪の場合は違法な操作です。この場合、責任は形式的にあなたのIPに帰属します。
⚠️ 重要な理解:
Christian Haschek社の調査(2015年)によると、443の無料プロキシを調査した結果、79%がページのHTMLコードを改変していました、また16%はHTTPSリクエストに対してさえ暗号化を使用していませんでした。それ以来、状況は改善されていません — 無料プロキシは増加し、そのオペレーターの動機は変わっていません。
無料プロキシを通じて何を盗むのか
具体的に言うと、未確認の無料プロキシを使用する際に何が危険にさらされるのか:
| 危険にさらされるもの | どのように盗まれるか | ビジネスへの影響 |
|---|---|---|
| 広告アカウントのログインとパスワード | HTTPの傍受、SSLストリッピング | Facebook Adsアカウントの乗っ取り、予算の流出 |
| セッションクッキー(cookies) | リクエストヘッダーの傍受 | パスワードなしでのアカウントアクセス |
| クレジットカード情報 | HTTPS決済ページへのMitM攻撃 | 資金の引き落とし、チャージバック |
| サービスのAPIキー | Authorizationヘッダーの傍受 | APIの悪用、罰金 |
| Instagram、TikTokのアクセストークン | OAuthトークンの傍受 | 顧客アカウントの乗っ取り |
| 顧客の個人情報 | フォームとPOSTリクエストの傍受 | 152-FZに基づく法的責任 |
ページコンテンツの改変についても言及する価値があります。一部の無料プロキシは、訪問したサイトのHTMLコードに外部スクリプトを挿入します — 広告、暗号通貨のマイナー、フィッシングフォームなどです。正当なサイトにアクセスしても、他のコンテンツが含まれた変更されたバージョンが表示されます。広告アカウントを扱う際には特に危険です:変更されたカード入力フォームは本物のように見えます。
リスクにさらされている人々:アービトラージ、SMM、eコマース
この記事を読んでいるあなたは、おそらく複数のアカウントや広告アカウントを扱っているでしょう。まさにそのようなユーザーが、詐欺的なプロキシのオペレーターにとって最も魅力的なターゲットです。以下の理由です:
アービトラージャーとメディアバイヤー
アービトラージャーはFacebook Ads、TikTok Ads、Google Adsを扱います。1つの作業場所で、同時に5〜20の広告アカウントが開かれていることがあります。各アカウントは実際のお金が入ったカードに紐付けられています。プロキシが1つのアカウントのセッショントークンを傍受すれば、攻撃者は広告の管理や紐付けられた支払い方法にアクセスできます。あなたが気づく前に、予算が数時間で流出する可能性があります。
広告アカウントを扱うために、アンチデテクトブラウザ — Dolphin Anty、AdsPower、GoLogin、Multiloginが使用されます。プロキシがアンチデテクトブラウザ内で設定されていて、それが侵害されている場合、攻撃者はすべてのプロファイルからのトラフィックを一度に見ることができます。
SMM専門家とエージェンシー
SMM専門家は、Instagram、TikTok、VKの顧客アカウントを管理します。無料プロキシを使用することは、顧客アカウントへのログイン情報が他人のサーバーを通過することを意味します。顧客アカウントの乗っ取りは、収入の損失だけでなく、評判の損害、クレーム、そして法的訴訟のリスクを伴います。このような事件の後に顧客の信頼を回復することは非常に困難です。
マーケットプレイスの販売者
Wildberries、Ozon、Avitoの販売者は、競合の価格を監視し、複数の店舗を管理するためにプロキシを使用します。Wildberriesの販売者の個人アカウントは、在庫、価格、財務統計、支払いへのアクセスを提供します。これらのデータが侵害されると、無断での価格変更、資金の引き出し、または店舗のブロックにつながる可能性があります。
💡 プロフェッショナルのためのルール:
お金や顧客データが紐付けられたアカウントで作業するために無料プロキシを使用しないでください。プロキシでの月に10〜30ドルの節約が、数千ドルの広告予算や顧客アカウントの損失につながる可能性があります。
プロキシの安全性を確認する方法:ステップバイステップのチェックリスト
それでも知らないプロキシを使用することに決めた場合や、すでに使用しているプロキシを確認したい場合は、以下の手順に従ってください。これらのステップのいずれもプログラミングの知識を必要としません。
ステップ 1: プロキシのIPアドレスとジオロケーションを確認する
プロキシに接続して、2ip.ruまたはwhoer.netにアクセスします。サイトは現在のIPアドレスを表示します。確認してください:
- IPアドレスがプロキシのアドレスに変更されている(つまり、トラフィックが本当にプロキシを通過している)
- 国と都市がプロキシプロバイダーのウェブサイトに記載されているものと一致している
- 匿名性のセクションに「Proxy」、「VPN」、「Datacenter」のマークがない — もしあれば、プロキシはプラットフォームによって簡単に特定されます
ステップ 2: DNSリークを確認する
DNSリークとは、ブラウザがデータを送信するためにプロキシを使用しているが、DNSリクエスト(つまり、サイトアドレスを解決するためのリクエスト)が依然として実際のインターネットプロバイダーを通過することを指します。これにより、実際のIPアドレスと位置情報が明らかになります。
確認方法:
- プロキシに接続する
- dnsleaktest.comにアクセスする
- 「Standard test」または「Extended test」をクリックする
- 結果にはプロキシプロバイダーに属するDNSサーバーのみが表示されるべきです — 自宅のプロバイダーのものではありません
ステップ 3: SSL証明書の正当性を確認する
これはパスワードとカード情報を保護するための最も重要な確認です。手順:
- プロキシに接続する
- 任意の大手サイトにアクセスする:google.com、facebook.com、vk.com
- ブラウザのアドレスバーの鍵をクリック → 「証明書」(または「サイト情報」)
- 「発行者」フィールドを確認する(Issued by):証明書は有名な認証機関によって発行されている必要があります — Let's Encrypt、DigiCert、GlobalSign、Comodo
- 赤旗:証明書が不明な組織またはサイト自体によって発行されている場合 — これはMitM攻撃の兆候です
ステップ 4: ページのHTMLコードの改変を確認する
プロキシを通じて任意の有名なサイトにアクセスし、ページのソースコードを開きます(Chrome/FirefoxでCtrl+U)。疑わしい挿入を探します:
- ページの先頭または末尾にある不明な
<script>タグ - スクリプト内の不明なドメインへのリンク
- ページに存在すべきでないiframe挿入
- 変更された入力フォーム(フォームの
action属性が元のドメインに向かっていない)
比較のために、プロキシなしで同じページを開き、ソースコードを比較することができます — 違いはすぐに目に入ります。
ステップ 5: プロキシのIPアドレスの評判を確認する
プロキシに接続し、2ip.ruでそのIPを確認し、次のサービスでこのIPをチェックします:
- abuseipdb.com — IPアドレスに関する苦情のデータベース(スパム、攻撃、詐欺)
- scamalytics.com — IPアドレスのリスク評価
- ipqualityscore.com — プロキシ、VPN、ボットネットへの属するかどうかの確認
IPが「High Risk」、「Proxy」、「VPN」としてマークされている場合、または苦情がある場合 — これは安全性と広告プラットフォームでの使用にとって悪い兆候です。
赤旗:危険なプロキシの兆候
時には、チェックを実行する必要すらありません — 危険なプロキシは選択段階で認識できます。以下は、警戒すべき兆候です:
| 兆候 | なぜ危険なのか |
|---|---|
| 連絡先情報や法的情報がないサイト | データが盗まれた場合に誰に苦情を申し立てるかが不明 |
| ブラウザ拡張機能のインストールを要求する | 拡張機能はページのすべてのコンテンツを読み取ることができます |
| ルート証明書のインストールを要求する | その後、すべてのHTTPSトラフィックが復号化されます |
| プライバシーポリシーがない | あなたのデータを保護する義務がない |
| プロキシリストが5〜10分ごとに更新される | これはスキャンされた他人のサーバーであり、自社のインフラではありません |
| ドメインが最近登録された(6ヶ月未満) | 一時的な詐欺プロジェクトの兆候 |
| レビューがないか、すべてのレビューが同じように絶賛されている | 偽のレビュー — 詐欺サービスの定番 |
| 「無料」サービスにしては速度が異常に高い | 誰かがインフラに投資している — つまり、他の方法で回収している |
ブラウザ拡張機能についても言及します。多くの無料「プロキシ」は、ChromeやFirefoxの拡張機能として配布されています。ブラウザの拡張機能は、ブラウザ内で行うすべての操作にアクセスできます:ページの内容、入力されたデータ、クッキー、履歴。これは通常のプロキシサーバーとは根本的に異なるアクセスレベルです。広告アカウントや顧客アカウントで作業するために、未知の開発者からの拡張機能を決してインストールしないでください。
プロキシを確認するためのツール(コードなし)
便利なように、すべての役立つサービスを1つの表にまとめました — ブックマークとして保存してください:
| サービス | 確認する内容 | 使用方法 |
|---|---|---|
| 2ip.ru | IP、国、プロバイダー、匿名性 | プロキシ経由でアクセスし、データを確認する |
| whoer.net | 匿名性のレベル、WebRTCリーク、DNS | ワンクリックでの包括的な確認 |
| dnsleaktest.com | DNSリーク | Extended test — 最も完全なオプション |
| abuseipdb.com | IPの評判(苦情、攻撃、スパム) | プロキシのIPを検索に入力する |
| scamalytics.com | IPアドレスの詐欺スコア | スコアが75以上 = 高リスク |
| ipqualityscore.com | プロキシ/VPN/ボット検出 | プラットフォームがあなたのIPをどのように見ているかを表示 |
| browserleaks.com | WebRTC、Canvas、Fontフィンガープリンティング | WebRTCを介して実際のIPが漏れるかどうかを確認 |
WebRTCリークに特に注意してください。WebRTCは、ブラウザによるビデオ通話やデータ転送のための技術です。問題は、ブラウザがプロキシがアクティブであっても、WebRTCを介して実際のIPアドレスを漏らす可能性があることです。これは、Facebookや他のプラットフォームがプロキシにもかかわらずあなたの本当のアドレスを「見る」最も一般的な理由の1つです。これはbrowserleaks.comのWebRTC Leak Testセクションで確認できます。
💡 Dolphin AntyとAdsPowerのユーザーへのアドバイス:
アンチデテクトブラウザには、新しいプロファイルを追加する際にプロキシの内蔵チェックがあります。しかし、このチェックはプロキシとそのIPの可用性のみをテストします — セキュリティを確認せず、MitM攻撃を検出しません。作業プロファイルに追加する前に、常に上記のサービスを通じてプロキシを追加で確認してください。
安全な代替手段:無料プロキシの代わりに何を使うべきか
以上のことを考えると、自然な質問が浮かびます:無料プロキシの代わりに何を使用すべきか?答えは目的によります。
アービトラージャー向け:モバイルプロキシ
Facebook AdsやTikTok Adsを扱うアービトラージャーは、伝統的にモバイルプロキシを選択します — これは、オペレーターのネットワークからの実際のモバイルデバイスのIPアドレスを使用します(MTS、Beeline、T-Mobileなど)。FacebookやTikTokのアルゴリズムは、このトラフィックをスマートフォンを持つ通常のユーザーとして認識するため、ブロックされる可能性が大幅に低下します。主な利点は、広告プラットフォームからの高い信頼レベルです。
SMM専門家向け:レジデンシャルプロキシ
InstagramやTikTokで10〜50の顧客アカウントを管理するSMMエージェンシーには、レジデンシャルプロキシが適しています。これらは、家庭のインターネットユーザーのIPアドレスを介して機能します — これがソーシャルネットワークのアルゴリズムにとって「通常の」ユーザーの姿です。レジデンシャルプロキシは、多数のアカウントを管理する際に安定した動作を提供し、大規模なブロックのリスクを回避します。
価格監視とパース向け:データセンタープロキシ
Wildberries、Ozon、Avitoの価格をパースすることが目的であり、アカウントを扱う必要がない場合、データセンタープロキシが最適な選択肢です。これらはレジデンシャルプロキシよりも高速で、コストも低く、人間らしさが求められないタスクに優れています。価格監視では、速度が匿名性よりも重要であり、ここでデータセンターが勝ります。
安全な有料プロキシを選ぶための重要な基準
- 法人と公開されたプライバシーポリシー — プロバイダーはあなたのデータに対して責任を負います
- ノーログポリシー — プロバイダーはあなたの活動のログを保存しません
- トラフィックの暗号化 — あなたとプロキシサーバーの間のデータは暗号化されています
- テクニカルサポート — 問題が発生した場合に相談できる相手がいます
- 独立したプラットフォームでのレビュー — Trustpilot、アービトラージャーの専門フォーラム
- 試用期間またはテストプラン — 完全な支払いの前に品質を確認する機会
✅ 比較:無料プロキシ vs 有料プロキシ
| パラメータ | 無料プロキシ | 有料プロキシ |
|---|---|---|
| データの安全性 | ❌ 保証されていない | ✅ 暗号化、ノーログ |
| 速度 | ❌ 不安定 | ✅ 安定している、保証されている |
| 信頼性 | ❌ サーバーはいつでも消える可能性がある | ✅ SLA、稼働保証 |
| プラットフォームの禁止リスク | ❌ 高い(IPがブラックリストに載っている) | ✅ 低い(クリーンなIP) |
| サポート | ❌ 存在しない | ✅ 24/7のテクニカルサポート |
| 実際のコスト | ❌ あなたのデータとアカウント | ✅ 固定のサブスクリプション |
結論
無料プロキシは、単なる遅いまたは信頼できないツールではありません。最悪の場合、あなたのお金、アカウント、そして顧客に対する評判に対する積極的な脅威です。無料プロキシのオペレーターは、トラフィックの傍受、データの販売、そしてあなたのデバイスを自分の目的で使用することで利益を得ています。これは偏執病ではなく、独立した研究によって確認された文書化された現実です。
すでに仕事で無料プロキシを使用している場合は、今すぐwhoer.netとdnsleaktest.comを通じて確認してください。結果に不安を感じた場合は、広告アカウントや顧客アカウントへのアクセスを失う前にツールを変更してください。
InstagramやTikTokの複数のアカウント、Facebook Adsの広告アカウント、またはマーケットプレイスの監視を専門的に行うためには、レジデンシャルプロキシを検討することをお勧めします:これらは実際の匿名性を提供し、プラットフォームのブラックリストに載らず、予測可能で制御可能なインフラで機能します。あなたのデータはあなたのもののままです。