FBI・Google・Lumen Technologiesは、中国を拠点とするフィッシング・アズ・ア・サービス(PhaaS)「Outsider Enterprise」のインフラを解体したと発表した。週88ドルから購入できるこのキットは、AIを使ったフィッシングサイト量産手法を購入者に指導していたとされ、FBI は2023年7月以降で推計387万枚のクレジットカード情報窃取と19億ドルの損失に関与していると結びつけている。
週88ドルで手に入る「完全犯罪ツール」の実態
ニューヨーク南部地区に提出された訴状によると、Outsider Enterpriseはサブスクリプション制で、料金は週88ドルまたは月200ドル。購入はTelegramのボット経由で行われた。
技術的なスキルは一切不要で、銀行・通信キャリア・政府機関・州の車両局(DMV)・米国郵便公社(USPS)・有料道路システムを模した290種類以上の既製テンプレートを選ぶだけで、偽サイトを数分以内に立ち上げられた。ニューヨークのE-ZPassをはじめとする有料道路詐欺テキストが過去2年間で急増している背景には、こうしたツールの存在があったと見られる。
このキットはリアルタイムで被害者データを取得し、SMSコード・PIN・メールコード・アプリ承認要求を送信する機能も備えていた。二要素認証のワンタイムパスコードさえも奪取できる仕組みだ。
GeminiをだましてフィッシングページのHTMLを生成
Googleの訴状が明らかにした手口の中でも特筆すべきなのが、Google自身のAIであるGeminiの悪用だ。Outsiderは購入者向けにステップバイステップの解説ビデオを配布しており、Geminiにフィッシングページ用のHTMLを書かせる方法を教えていた。
プロンプトはGeminiの安全フィルターをすり抜けるよう巧妙に偽装されており、「インラインCSSを使い、JavaScriptを含まないギフト特典ページ」の作成依頼として入力するよう指示していた。Googleによると、こうして生成されたコードをOutsiderのソフトウェアに取り込むことで、290種類の既存テンプレートに加えた新たな詐欺サイトのバリエーションを際限なく生み出せた。
FBIサイバー部門の副部長であるBrett Leatherman氏は「犯罪者はAIをますます活用し、こうした詐欺をより巧みで検出困難なものにしている」と述べている。
作戦「ゴーストフック」の成果と残された課題
今回の摘発は「オペレーション・ゴーストフック(Operation Ghost Hook)」と命名され、FBIのより広範なオペレーション・リプタイド(Operation Riptide)の一環として実施された。押収物はグループの主要管理ドメイン、Shopifyストアフロント、Outsiderの決済ウォレットから約10万ドル相当のUSDT(テザー)に及ぶ。米国のプロバイダーに登録されていた数千件のフィッシングドメインはFBIの告知ページにリダイレクトされ、捜査機関はグループ自身のTelegramボットを使って顧客情報の収集にも成功した。
Googleが独自に集計した被害規模はFBIの数値よりも小さく、「数十万人の被害者」と「2026年5月の2週間でAndroidユーザーへ送られた250万件の詐欺テキスト」を挙げている。Googleは民事訴訟においてRICO法(組織犯罪規制法)違反と商標侵害の両面で訴えを追及する方針だが、中国にいる未特定の被告が実際に米国へ引き渡される可能性は低いとGoogleも認めている。
現時点ではインフラの解体と資産押収が達成された段階であり、関係者の身柄確保には至っていない。続報を注視したい。
Q&A
Q. Outsider EnterpriseはどのようにGeminiの安全フィルターを回避したのか? 訴状によると、フィッシングページ生成を依頼するプロンプトを「ギフト特典ページ」の作成依頼に見せかけ、かつインラインCSSのみ・JavaScript不使用という無害な実装条件を付記することで、安全フィルターに引っかかりにくい文面を使用するよう購入者に指導していた。
Q. 日本のユーザーが今すぐできる対策はあるか? ソース記事は具体的な日本向け対策には言及していないが、今回の手口(銀行・宅配・有料道路の偽サイトへの誘導)は日本でも同様の手法が使われているフィッシングと共通する。心当たりのないSMSに含まれるURLは開かず、公式アプリまたは公式サイトからのアクセスを徹底することが有効だ。
