プロキシを接続し、すべてが正常に動作しています — アカウントが開き、広告が回っています。しかし、プロバイダーが現在あなたのログイン情報、クッキー、広告アカウントのデータを読み取っていないかどうか、どうやって知ることができますか? 一部の不正なプロキシサーバーは「中間者攻撃」(MITM)を使用します — 彼らはSSL証明書を偽装し、あなたのすべてのHTTPSトラフィックを静かに復号化します。この記事では、コードの一行も使わずに5〜10分で任意のプロキシを確認する方法を解説します。
プロキシを介したMITM攻撃とは何か、そしてそれが危険な理由
MITMは「Man-in-the-Middle」の略で、「中間者」を意味します。これは、あなたと開いているウェブサイトの間に第三者が介入し、あなたが送信するすべてのデータを読み取る状況です。通常、HTTPS暗号化はこれを防ぎます:誰かがデータパケットを傍受しても、暗号化された意味不明な文字列しか見えません。
しかし、プロキシサーバーはまさに「中間者」です。あなたのすべてのトラフィックは、いずれにせよ彼らを通過します。問題は、プロバイダーが正直かどうかです:単に暗号化されたデータを転送するのか、それとも復号化して読み取り、再び暗号化してからあなたに送信するのか。
後者のシナリオはSSLインスペクションまたはSSL傍受と呼ばれます。技術的には可能です:プロキシサーバーは、あなたが訪れる各サイトのために偽の証明書を生成し、それを本物の証明書の代わりにあなたのブラウザに提供します。ブラウザは「Facebook」や「Wildberries」と直接通信していると思い込んでいますが、実際にはプロキシと通信しています。
⚠️ 悪意のある者が傍受によって得られるもの:
- Facebook Ads、Google Ads、TikTok Adsのログイン情報とパスワード
- セッションのクッキー — これを使ってパスワードなしでアカウントにログインできます
- 広告アカウントのデータ:予算、オーディエンス、クリエイティブ
- 支払い情報とカードの詳細
- SMMエージェンシーとして管理している顧客のデータ
- マーケットプレイスのアカウント:Wildberries、Ozon、Avito
最も厄介なのは、これが静かに行われることです。警告もなく、作業の中断もありません。アカウントは正常に動作し、広告は回り続けます。単に誰かがあなたが行うすべてを並行して読み取っているだけです。
リスクにさらされているのは誰か:アービトラージャー、SMM、セラー
一見すると、トラフィックの傍受は企業や銀行の問題のように思えます。しかし、実際にはアービトラージャー、SMM、eコマースの専門家が不正なプロバイダーの格好の標的となります。その理由は簡単です:彼らはプロキシサーバーを通じて非常に価値のあるデータを通過させます。
アービトラージャーとメディアバイヤー
アービトラージャーは、数十のFacebook Ads、TikTok Ads、Google Adsアカウントを扱います。各アカウントは、潜在的に数千ドルの広告予算です。プロキシがセッションのクッキーを傍受すると、悪意のある者はすべてのアカウントに同時にアクセスできます。侵害されたプロキシを通じて広告アカウントがハッキングされるのは、ブラックマーケットでの実際の実践です。
SMM専門家とエージェンシー
Instagram、TikTok、VKで20〜50のクライアントアカウントを管理している場合、各プロフィールのトラフィックは指定されたプロキシを通過します。クライアントアカウントへのアクセスを失うことは、回復が難しい評判と財務的損失をもたらします。
マーケットプレイスのセラー
Wildberries、Ozon、Avitoでプロキシを介して働いている人々は、しばしばプロキシ接続を介して販売者の個人アカウントにログインします。これは、プロバイダーが不正である場合、ログイン情報、パスワード、店舗のデータが危険にさらされることを意味します。
プロキシがHTTPS証明書を偽装する方法 — 簡単に説明します
HTTPSでサイトを開くと、次のことが起こります:あなたのブラウザはサイトに「身分証明書」を見せるように要求します — SSL証明書です。証明書は信頼された認証機関(例えば、Let's Encrypt、DigiCert、Comodo)によって発行されます。ブラウザは署名を確認し、問題がなければサイトのサーバーと直接暗号化された接続を確立します。
プロキシを介したMITM攻撃では、スキームが変更されます:
- あなたのブラウザはプロキシを介してリクエストを送信します。
- プロキシサーバーは自らfacebook.comに接続し、本物の証明書を取得します。
- プロキシはfacebook.com用の偽の証明書を生成し、それをあなたに送信します。
- あなたのブラウザは証明書を確認し、誰が署名したかをチェックします。
- 未知の認証機関によって署名されている場合、ブラウザは警告を表示します。悪意のある者が何らかの方法で自分のルート証明書をあなたのシステムにインストールした場合、警告は表示されません。
だからこそ、プロキシプロバイダーが要求する「ルート証明書」を決してインストールしないことが重要です。これは主な赤信号です — 正当なプロキシサービスは、あなたにそれをするように求めることは決してありません。
ブラウザを介した確認:ツールなしの3つの方法
良いニュースは、トラフィックの傍受を確認するためにプログラマーである必要はないということです。ここに、ブラウザ内で直接機能する3つの方法があります。
方法 1: 手動で証明書を確認する
プロキシに接続し、任意の大手サイト(例えば、facebook.comやgoogle.com)を開きます。アドレスバーの左側にある鍵のアイコンをクリックします。Chromeでは「接続が保護されています」をクリックし、「証明書の詳細」を選択します。証明書に関する情報が表示されるウィンドウが開きます。
「発行者」のフィールドを確認してください。facebook.comの場合、「DigiCert SHA2 High Assurance Server CA」や同様の有名な認証機関の名前が表示されるはずです。知らない名前、特に「ProxyCA」、「NetFilter」、「Squid」などの非標準の名前が表示される場合は、傍受の兆候です。
📋 Chromeでのステップバイステップ:
- ブラウザまたはアンチデテクトプロファイルでプロキシを有効にします
- facebook.comまたはgoogle.comを開きます
- アドレスバーの鍵のアイコンをクリックします
- 「接続が保護されています」→「証明書が有効です」を選択します
- 「発行者」フィールドを確認します
- プロキシなしで同じサイトが表示するものと比較します
方法 2: 証明書のフィンガープリントを比較する
各SSL証明書にはユニークな「フィンガープリント」があります — 特定の証明書を一意に識別する文字列です。プロキシなしでgoogle.comを開き、証明書のフィンガープリント(証明書ウィンドウの「詳細」タブの「SHA-256フィンガープリント」フィールド)を記録します。その後、プロキシを有効にして同じサイトを確認します。フィンガープリントが一致するはずです。異なる場合、プロキシが証明書を偽装しています。
方法 3: 証明書のチェーンを確認する
証明書ウィンドウには「認証パス」または「Certification Path」というタブがあります。そこには、ルートセンター → 中間 → サイトの証明書のチェーンが表示されます。大手サイトのルートセンターはDigiCert、Comodo、GlobalSign、Let's Encrypt、Sectigoです。チェーンに知らないルートセンターが表示される場合は、重大な懸念材料です。
オンラインサービスとユーティリティを介した確認
ブラウザでの手動確認に加えて、SSL接続を自動的に分析し、傍受の兆候を特定する特別なサービスもあります。ここに最も便利なものがあります。
SSL Labs (ssllabs.com/ssltest)
Qualys SSL Labsサービスを使用すると、任意のドメインのSSL証明書を確認できます。しかし、私たちの目的には別のことが重要です:プロキシを介してbadssl.comにアクセスします。このサイトはSSLセキュリティをテストするために特別に作成されました。意図的に「悪い」証明書(例えば、自己署名またはホスト名が不正確なもの)を持つページがあります。ブラウザはこれらのページでエラーを表示する必要があります。エラーの代わりに正常に読み込まれたページが表示される場合、プロキシがSSLに干渉しています。
howsmyssl.comサービス
プロキシを介してhowsmyssl.comを開きます。このサービスは、あなたのTLS接続に関する詳細情報を表示します:プロトコルのバージョン、使用される暗号、脆弱性の有無。接続がSSLインスペクションを持つプロキシを介している場合、TLSセッションのパラメータはあなたのブラウザの標準とは異なるでしょう。
browserleaks.comサービス
Browserleaks.comは、漏洩を確認するための包括的なツールです。「SSL/TLS」セクションでは、現在の接続でブラウザが使用している暗号化パラメータが表示されます。プロキシありとなしで結果を比較してください。暗号スイートのセットに大きな違いがある場合、あなたとサイトの間に仲介者がいる可能性があります。
表:確認ツールとそれが表示するもの
| ツール | 何を確認するか | 難易度 | 結果 |
|---|---|---|---|
| ブラウザの鍵 | 誰が証明書を発行したか | ⭐ 簡単 | 迅速な初期確認 |
| badssl.com | 悪い証明書に対する反応 | ⭐ 簡単 | 証明書の偽装を特定 |
| howsmyssl.com | TLS接続のパラメータ | ⭐⭐ 中程度 | 暗号化の異常 |
| browserleaks.com | データ漏洩、TLSプロファイル | ⭐⭐ 中程度 | 包括的な確認 |
| フィンガープリントの比較 | 証明書の同一性 | ⭐⭐ 中程度 | 100%正確な結果 |
Dolphin Anty、AdsPower、GoLogin内でプロキシを確認する方法
アンチデテクトブラウザを使用している場合、確認はブラウザプロファイル内で行う必要があります — 各プロファイルは独自のプロキシを使用し、そのプロキシを介してアカウントのすべてのトラフィックが流れます。
Dolphin Anty
Dolphin Antyで必要なプロファイルを開きます。プロファイルを起動した後、開いたブラウザでbadssl.com/dashboardに移動します。「self-signed」リンクをクリックします — ブラウザは証明書エラーの警告を表示する必要があります。ページが警告なしに開き、緑の鍵が表示される場合、プロキシがトラフィックを傍受し、証明書を「修正」しています。また、任意のサイトで鍵を開き、上記のように証明書の発行者を確認してください。
AdsPower
AdsPowerでも手順は同様です。必要なプロキシでプロファイルを起動し、内蔵ブラウザを開いてhowsmyssl.comにアクセスします。「Given Cipher Suites」セクションに注意してください — 暗号スイートはあなたのブラウザエンジン(通常はChrome)に一致する必要があります。非標準または古い暗号が表示される場合、接続がプロキシサーバーによって復号化され再構築されている兆候です。
GoLoginとMultilogin
GoLoginとMultiloginには、プロキシを追加する際に組み込みの確認がありますが、これは接続の可用性とジオロケーションのみを確認し、SSLの安全性は確認しません。したがって、プロファイルを起動した後、手動で確認を行います:browserleaks.com/sslを開き、ブラウザのJA3フィンガープリントをChrome/Firefoxの基準値と比較します。JA3があなたのブラウザの標準と異なる場合、あなたとサイトの間に仲介者がいることを示しています。
💡 アンチデテクトブラウザ用の迅速なチェックリスト:
- 確認するプロキシでプロファイルを起動します
- badssl.comを開く → 「self-signed」をクリック → エラーが表示される必要があります
- google.comを開く → 鍵をクリック → 「発行者」を確認します
- howsmyssl.comを開く → TLSのバージョンを確認します(1.2または1.3である必要があります)
- google.comの証明書のフィンガープリントをプロキシありとなしで比較します
赤信号:危険なプロキシプロバイダーの兆候
時には技術的な確認を待つ必要はありません — 危険なプロバイダーはサービスの調査段階で特定できます。以下は、警戒すべき兆候です。
🚩 ルート証明書のインストールを要求する
これは主な赤信号です。プロバイダーが設定手順で「ルート証明書」または「CA証明書」をシステムまたはブラウザにインストールするように求めている場合、すぐに離れてください。企業のプロキシ(例えば、オフィスで)は時々従業員の監視のためにこれを行いますが、商業プロキシプロバイダーにはそのための合法的な根拠はありません。
🚩 説明なしのあまりにも低い価格
レジデンシャルおよびモバイルプロキシはお金がかかります — プロバイダーは実際のIPアドレスに対して支払います。誰かが市場の10分の1の価格でレジデンシャルプロキシを提供している場合、彼らがどのように利益を上げているのか疑問が生じます。答えの一つは、トラフィックの傍受を通じてユーザーデータを収益化することです。
🚩 会社と管轄に関する情報がない
信頼できるプロバイダーは常に法的な主体、登録国、連絡先情報を示します。法的情報がまったくない匿名サービスはリスクです。事故が発生した場合、誰に苦情を申し立てることができるのでしょうか。
🚩 明確なプライバシーポリシーがない
プライバシーポリシーは、収集されるデータ、保存方法、第三者への転送の有無を明示的に説明する必要があります。ポリシーがないか、あいまいに書かれている場合は、注意が必要です。
🚩 サードパーティのソフトウェアのインストールを要求する
プロキシを使用するために追加のソフトウェアをインストールする必要はありません — ただブラウザやアンチデテクトツールの設定にデータ(ホスト、ポート、ログイン、パスワード)を入力するだけです。プロバイダーがクライアントアプリケーションのインストールを強く要求する場合、その評判を非常に注意深く確認してください。
どのタイプのプロキシが安全で、なぜか
トラフィックの傍受のリスクは、どのタイプのプロキシにも存在します — それはプロバイダーに依存し、技術に依存しません。しかし、いくつかのタイプのプロキシは、その性質上、侵害されることが難しいです。
レジデンシャルプロキシ
レジデンシャルプロキシは、実際の家庭ユーザーのIPアドレスを使用します。トラフィックは実際の人々のデバイスを通じてルーティングされるため、技術的には中央集権的な傍受が難しくなります — プロバイダーは自社のサーバーと同じようにエンドポイントを完全に制御しているわけではありません。しかし、これが完全な安全性を意味するわけではありません:一部のトラフィックは依然としてプロバイダーのインフラストラクチャを通過します。
モバイルプロキシ
モバイルプロキシは、実際のモバイルオペレーターのSIMカードを介して機能します。これは、Facebook、Instagram、TikTokが最も信頼する「生きた」IPアドレスです。トラフィックの安全性に関しては、レジデンシャルプロキシと同様の状況です:すべてはプロバイダーの誠実さに依存します。
データセンタープロキシ
データセンタープロキシは、プロバイダーによって完全に制御されるサーバーIPアドレスです。一方では、これはプロバイダーがトラフィックを完全に制御することを意味します。もう一方では、大手データセンタープロバイダーは評判を大切にし、傍受に関与しません。認証を必要としないタスク(パース、価格監視)には、価格と速度のバランスが最適な選択肢です。
| プロキシの種類 | 適している用途 | 傍受のリスク | 推奨 |
|---|---|---|---|
| レジデンシャル | Facebook Ads、Instagram、認証 | 低リスク(信頼できるプロバイダーの場合) | ✅ 認証が必要なアカウントに最適 |
| モバイル | TikTok Ads、アカウントの育成 | 低リスク(信頼できるプロバイダーの場合) | ✅ ソーシャルメディアと広告に最適 |
| データセンター | パース、価格監視、SEO | プロバイダーによる | ✅ 認証なしのタスクに最適 |
| 無料のパブリック | — | 🔴 非常に高リスク | ❌ 認証には絶対に使用しないでください |
無料のパブリックプロキシについては、認証が必要なアカウントでの使用は絶対に推奨されません。ほとんどのこうしたサーバーは、データ収集のために作られたものであり、運営者は傍受されたログイン情報、クッキー、支払いデータから利益を得ています。
プロキシを使用する際の一般的なセキュリティルール
- 信頼できる有料プロバイダーからのプロキシのみを使用してください
- プロバイダーの要求に応じてルート証明書を決してインストールしないでください
- タスクごとにプロキシを分けて使用してください:認証用とパース用
- 貴重なアカウントに使用する前に新しいプロキシを確認してください
- 広告アカウントのパスワードを定期的に変更し、二要素認証を有効にしてください
- 100%信頼できないプロキシを介してアカウントにログインしないでください
- SMMエージェンシーの異なるクライアントに対して異なるプロキシを使用してください
結論とセキュリティチェックリスト
プロキシのセキュリティは妄想ではなく、貴重なアカウント(Facebook AdsやTikTok Adsの広告アカウント、Instagramのクライアントプロフィール、WildberriesやOzonの個人アカウント)を扱うすべての人にとって必須のプロセスです。SSL証明書の確認は5分で済み、数ヶ月の作業と数千ドルの広告予算を守ることができます。
✅ 最終チェックリスト:トラフィックの傍受を確認する方法
- プロキシを介してサイトを開く → 鍵をクリック → 証明書の「発行者」を確認する
- google.comのSHA-256証明書のフィンガープリントをプロキシありとなしで比較する
- badssl.com/dashboardにアクセス → 「self-signed」をクリック → ブラウザエラーが表示される必要があります
- howsmyssl.comを開く → TLSのバージョンが1.2または1.3であることを確認する
- browserleaks.com/sslを確認 → JA3フィンガープリントを基準と比較する
- プロバイダーがルート証明書のインストールを要求しなかったことを確認する
- プロバイダーに関するプライバシーポリシーと法的情報が存在することを確認する
広告アカウントを扱う予定がある場合、ソーシャルメディアでクライアントプロフィールを管理する場合、またはマーケットプレイスのアカウントにログインする場合は、透明なポリシーと良好な評判を持つプロバイダーを選択してください。こうしたタスクには、レジデンシャルプロキシが最適です — それらはプラットフォームからの高い信頼レベルを提供し、ブロックのリスクを最小限に抑え、信頼できるプロバイダーではSSLトラフィックは決して検査されません。