概要

• スマートテレビ アプリに組み込まれた プロキシSDK のリスク調査。
• LG と Samsung のテレビで2,058件のアプリがIPアドレスを販売。
• ユーザーの認識不足 とプラットフォームの監視不足が問題。
• AmazonやRokuは プロキシアプリを禁止、LGとSamsungは未対応。
• 透明性と制御 の強化、明確なポリシー策定が必要。

スマートテレビに潜むプロキシアプリの実態

• スマートテレビ のアプリは監視が甘く、 IPアドレス販売 の温床。
• LG と Samsung の6,038アプリを調査、2,058件がプロキシ化。
• 表向きは水槽、時計、ゲーム等の 無害なアプリ に見えるが、裏で 他人の通信を中継 するプロキシとして機能。
• テレビは 長期間ネットワーク接続 され、ユーザーはパソコンのように監査しない傾向。

プロキシSDKがテレビアプリに入り込む理由

• 広告収益 よりも、プロキシSDK導入の方が ユーザー体験を損なわず収益化 できる点が魅力。
• 一度の同意で バックグラウンド動作 が許可され、アプリ終了後もプロキシは稼働し続ける。
• 例：Pac-Man on Tizenでは、 Bright Data への同意で広告なし利用が可能、拒否すれば広告付き。

アプリ開発元の実態

• プロキシ会社自身が アプリのパブリッシャー であるケースも多数。
• Bright Data 関連だけで367件、 Honeygain UAB （Oxylabs子会社）も16件確認。
• 単なるSDK組み込みではなく、 プロキシ稼働のための薄いアプリ が量産されている現状。

プラットフォームごとの対応状況

• Amazon はDevice and System Abuse Policyで プロキシアプリを明確に禁止。
• Roku もBright SDK等の利用をブロック、該当アプリはストアから削除。
• 一方、 LG と Samsung は明確な規制を設けておらず、 規制の隙間 を突かれている。

プロキシアプリのリスク

• テレビアプリがプロキシ化すると、 家庭内ネットワーク全体が危険 に晒される可能性。
• プロキシ経由で ローカル機器へのアクセス や サイバー攻撃 の踏み台になるリスク。
• 2026年1月、KrebsOnSecurityが Kimwolfボットネット の事例を報告、実際にローカルネットワーク侵入が発生。
• SDKごとの制御 が境界線となるが、ユーザー自身が 実際の通信内容を確認できない のが現状。

技術的調査手法

• ストア説明や許可プロンプトではなく、 実際のアプリパッケージを解析。
• Bright Data、Massive、Honeygain/Oxylabs 等のSDKアーティファクトを検出し、確実な証拠を収集。

プロキシベンダーの回答要旨

• Bright Data
  • 合意と透明性を重視し、 監査体制や利用目的の厳格な審査 を実施。
• Massive
  • ユーザーへの影響を最小限に抑えつつ、 KYC審査やサーバー側での技術的制御 を強調。
• OxyLabs
  • ローカルネットワーク制限や第三者監査 を実施、 Honeygain SDK Partnership Program 経由のアプリのみ許可。

結論と提言

• テレビアプリが ユーザーの同意なく家庭内ネットワークをプロキシ化 する現状は重大な問題。
• 一度きりの同意 や、分かりにくい説明では 十分な透明性や制御が確保できない。
• AmazonやRokuのような明確な規制、 ユーザーへの分かりやすい説明と制御機能 の義務化が必要。
• 消費者も、 スマートテレビが第三者の通信インフラに悪用され得る ことを認識し、アプリ選択に慎重になるべき。