FBIが中国を拠点とするフィッシング・アズ・ア・サービス(PhaaS)「Outsider Enterprise」を摘発した。約3年にわたり稼働したこの犯罪インフラは、クレジットカード情報を380万件超窃取し、被害総額は約19億ドルに達するとされる。BleepingComputerを引用するかたちでTechRadarが伝えた。
3年・9,000サイト・100万URL——規模が際立つ犯罪インフラの実態
Outsider Enterpriseは、サイバー犯罪者がフィッシングキットを「レンタル」する形で利用できるPhaaS(Phishing-as-a-Service)モデルで運営されていた。キットを使えば、大手ブランドを模倣した偽ログインページを簡単に作成でき、スパムメールやSMSを大量送信して盗んだ情報を自動で抜き出せる仕組みだ。
FBIの発表によれば、同サービスは約3年間にわたり活動を継続し、この間に生成された偽サイトは約9,000件、詐欺的なURLは少なくとも100万件以上にのぼる。窃取されたクレジットカード情報は380万件超で、被害額は約19億ドルにのぼるとされる。サイバー犯罪者コミュニティで広く利用された、とFBIは説明している。
FBIが押収したもの——サーバー・USDT10万ドル・Telegramボット
今回の摘発でFBIは複数の管理サーバー、Shopifyで構築されたeコマース用ストアフロント、攻撃者がPhaaS(主にSMSを使った誘導)をテストするために使っていたアカウントを押収した。
さらに、仮想通貨USDT(テザー)約10万ドル(約100,000 USDT)も差し押さえ。盗んだ情報の保管に使われていたTelegramボットも押収し、数千件のフィッシングページをFBIの公式告知サイトへリダイレクトした。
Googleも民事訴訟に踏み切った理由——2週間で250万通・Androidユーザーが標的
FBIによる摘発と並行し、Googleも同犯罪インフラのインフラに対して民事訴訟を提起した。Googleは声明の中で次のように述べている。
「私たちの民事訴訟が対象とするのは、『Outsider Enterprise』として知られる組織的なサイバー犯罪の活動だ。中国を拠点としTelegramを通じて連携するこのネットワークは、Googleやほかのブランドからのメッセージのように見せかけた偽テキストキャンペーンを大量送信できる『フィッシングキット』を配布している」
Googleの主張によれば、この組織はわずか2週間の間に、Androidユーザーを標的にした詐欺SMSを約250万通送信した。しかしユーザーが詐欺として報告したのは55,000件にとどまっており、大多数が見過ごされていた計算になる。Googleは主要通信事業者と連携し、詐欺メッセージが届く前に遮断する取り組みも進めているという。
「レンタル型」犯罪インフラが問うセキュリティの構造問題
今回の摘発が示すのは、フィッシング攻撃がもはや「技術力のある個人」だけの行為ではないという現実だ。PhaaS型の仕組みは、プログラミング知識のない犯罪者でも高精度なフィッシング攻撃を実行できる環境を提供する。Outsider EnterpriseのようなサービスがTelegramを通じてグローバルに展開できた背景には、追跡されにくい暗号資産決済と、クローズドなチャンネル運用がある。
利用者側の対策として現実的なのは、銀行・Googleなどを名乗るSMSのリンクを安易にタップしない習慣と、不審なメッセージを積極的に「詐欺報告」することだ。今回の押収でも、ユーザーからの報告件数が全体のわずか2.2%(250万通中55,000件)にとどまっていた事実は、報告行動そのものが防衛線として機能する余地を示している。
Q&A
Q. 「フィッシング・アズ・ア・サービス(PhaaS)」とは何か? サイバー犯罪者が偽ログインページ作成ツールやSMS大量送信機能をセットにして「レンタル」するビジネスモデルだ。技術知識がなくても大規模なフィッシング攻撃を実行できるため、犯罪の敷居が大幅に下がる点が問題視されている。
Q. Androidユーザーは今後どう対処すればよいか? ソース記事では具体的な対処手順には言及していないが、Googleが通信事業者と連携して詐欺SMSの遮断を進めていると報告されている。不審なSMSのリンクには触れず、詐欺と思われるメッセージはプラットフォームの報告機能を通じて申告することが現時点での有効な行動となる。
