中国語フィッシングサービスの進化

著者：Jamie Collier

ロシア語を話す脅威行為者が歴史的にはフィッシング・アズ・ア・サービス（PhaaS）の分野を支配してきた一方で、中国語の地下組織内で競合するエコシステムが急速に成長しています。Google Threat Intelligence Group（GTIG）は中国の地下組織における現在のPhaaS提供12個を分析しましたが、それらはすべて成熟したサービスであり、その地域のより広い犯罪エコシステムに密接に関連している可能性があります。これらのサービスは、中国のサイバー犯罪者の参入障壁を低下させるだけでなく、ソーシャルエンジニアリングと認証情報盗難の進化についての広いパターンを明らかにしています。昨年後半、Googleは1つのPhaaS提供者に対して法的措置を取り、以来、この種の詐欺に対する法律制定を支持し、技術的保障を実施するために取り組んできました。

このエコシステム内で、GTIGは静的なパスワードハーベスティングから実時間での傍受とトークン化への根本的なシフトを観察しています。ライブ管理パネルを利用することで、攻撃者はリアルタイムで被害者と対話して、ワンタイムパスコード（OTP）をキャプチャし、多要素認証（MFA）をすぐにバイパスできます。

単にアカウントアクセスを取得する代わりに、これらの操作は、デジタルウォレットプロビジョニングを悪用して、盗まれたペイメントデータをエコシステム内のトークン化されたアセットに変換することに焦点を当てています。このシフト（RCSやiMessageなどの暗号化配信チャネルを使用してSMSメッセージの従来のキャリアセキュリティフィルタをバイパスすることと組み合わせて）は、目標がもはや単なるログインではなく、被害者の金融アカウントへの直接的で無許可のコントロールを確保することである新たな発展を表しています。

中国語PhaaS エコシステム 

中国語PhaaS エコシステムは、ロシアの操作の単なる地域ミラーではなく、ユニークなプロフェッショナルカルチャーによって形作られた別個の市場です。これらのフィッシングサービスに模倣されたほぼすべての正当な組織は中国語以外のエンティティであり、彼らが中国を標的にすることはまれであることを示唆しています。

• 公開への影響：大きなロシアを拠点とするPhaaS提供が通常、大規模な組織の顧客を標的とするために使用される一方で、中国語のコミュニティで宣伝されているフィッシングサービスは、しばしば一般大衆をより日和見的に標的とするために設計されています。

• オープン操作：ロシア語を話す対応者とは対照的に、中国語フィッシングサービスの提供者は、オペレーションセキュリティに対する配慮が少なくオープンに操作することが多いです。たとえば、これらのサービスを実行している脅威行為者は、Telegramで定期的に彼らの豪華なライフスタイルの写真を投稿しています。

• Telegramへのフォーカス：フィッシングサービスの広告は、WeChat（Weixin）やTencent QQなどの地域的に人気のあるチャネルではなく、定期的にTelegramに投稿されます。このアプローチは、より広い中国語のサイバー犯罪エコシステムと一致しています。

• 広範な提供：PhaaS がこれらの操作の中核にある一方で、これらの開発者は通常、多数の補助サービスも提供し、完全で成熟した広範な提供を形成します。これらには、個人識別情報（PII）の販売、ドメイン名登録と仮想プライベートサーバー（VPS）ホスティングサービス、サーバーレンタル、マネーロンダリングサービス、盗聴デバイス（国際モバイル加入者ID [IMSI] キャッチャー）、およびメッセージ送信サービス（スパム支援）が含まれます。一部のプラットフォームベンダーは、盗まれたペイメントカード情報の取引にも関わっています。 

注目すべき中国語PhaaS TTP

1. RCS および iMessage 経由での配信：これらの攻撃は、現代的な通信への信頼を悪用することから始まります。従来のSMSではなく、これらの中国語PhaaS オペレーターは、Rich Communication Services（RCS）とAppleのiMessageを大きく活用しています。エンドツーエンド暗号化を使用するプロトコルは、サーバー側の配信インフラストラクチャが悪意のあるリンクを検査またはフィルタリングすることを困難にします。これにより、オンデバイスの保護が重要になります。メッセージには、より広範なエンゲージメント機能（既読確認、入力インジケーター、グループチャット機能、および高解像度画像、ビデオ、より大きなファイルを送信する機能を含む）が含まれています。これにより、ソーシャルエンジニアリング操作に理想的です。なぜなら、ルアーは平均的なユーザーに非常に正当に見えるからです。 
2. リアルタイム傍受：被害者が悪意のあるリンクをクリックして認証情報を入力すると、データが管理パネルに即座に表示されます。これにより、敵はリアルタイムで被害者と対話することができます。被害者にOTPの入力が求められると、攻撃者は自分のデバイス上で同じOTPリクエストをトリガーします。被害者はコードをフィッシングページに入力し、攻撃者がそれが失効する数秒前にキャプチャします。
3. デジタルウォレットを活用した金銭化：これらの操作の定義的な特性は、デジタルウォレットプロビジョニングを悪用して、盗まれたペイメント詳細を金銭化することです。攻撃者は、キャプチャした認証情報とOTPを使用して、被害者のカードを攻撃者が制御するデバイス上のデジタルウォレットにプロビジョニングします。トークン化されると、カードは高価値トランザクション、非接触支払い、およびATM引き出しに使用できます。ペイメントカードデータの盗難に焦点が当てられていますが、このエコシステムは、送金詐欺と株式操作のための従来のアカウント乗っ取り（ATO）を促進するために使用できるブローカレッジに焦点を当てたテンプレートも開発しています。
4. AI ベースの自動化：複数の中国語PhaaS オペレーターがスケーリングとステルスを可能にするために、操作にAIを採用しています。一例として、UNC5814にリンクされているDarcula PhaaS プラットフォームは、静的テンプレートから離れており、代わりに AI 搭載ページジェネレータと Puppeteer などのブラウザオートメーションツールを利用しています。これにより、ユーザーはターゲットウェブサイトのURLを提供することで、HTML、CSS、JavaScript、およびビジュアル要素をレプリケートすることにより、正当なウェブサイトを複製できます。各フィッシングページは静的テンプレートに依存するのではなく、ユニークであるため、シグネチャベースの検出方法はますます無効になります。 

ローカライゼーション・アズ・ア・サービス

中国語を話すPhaaS エコシステムは、多様な国際市場向けにローカライズされたコンテンツを生成できる、高度に自動化されたモデルにシフトしています。歴史的に静的で翻訳品質の悪いテンプレートに依存していた従来のフィッシングキットとは異なり、これらのオペレーターは、規模での文化的流暢性のためのインフラストラクチャを提供しています。AI 搭載ページジェネレータから地域固有の配信支援まで、すべてを提供することで、彼らは低いスキルの提携者が高い忠実度キャンペーンを立ち上げることを可能にします。 

YY Lai Yu（YY来鱼）：ローカライゼーションのケーススタディ

2024年8月に最初に宣伝された YY Lai Yu（YY来鱼）は、ローカルデジタルエコシステムを提供するPhaaS 提供の例です。プラットフォームは119か国でのフィッシングをサポートしていますが、その最大の焦点は日本にあります。「YY Lai Yu」、「Jeffrey Carrie」、および「Very casual」を含むコアチームによって管理されており、このサービスは中国語を話す脅威行為者に、日本の消費者エコシステムを効果的に標的とするために必要なローカライズされたインフラストラクチャを提供しています。

2025年11月以来、YY Lai Yu はその顧客に400以上のフィッシングテンプレートを提供しており、一般的な銀行ルアーを超えて、日本の居住者のデジタルライフスタイルも標的にしています。これらのテンプレートには、Amazon、Apple、DMM、Epos Card、JA Bank、JCB Card、JR（鉄道）、Matsui Securities、Mercari、Monex、Nintendo、野村證券、Orico Card、PayPay、Rakuten Securities、Sagawa Express を含む様々な日本語および日本ブランドが含まれていました。しかし、単に偽のアカウントページを提供するのではなく、脅威行為者は「ポイント」（积分）と報酬還元ルアーを開発することで地域の消費者習慣を活用し、被害者に失効するはずのロイヤルティポイントを現金または商品に交換するよう圧力をかけました。地元の経済情勢への深い認識を示して、オペレーターは日本の冬の電気補助金をめぐるルアーを作成することで生活費の懸念を悪用しました。 

地元のトランジットおよび支払いアプリから主要なeコマースおよびゲームプラットフォームまで、すべてを偽装する個別のドメインを展開することで、YY Lai Yu は、これらのPhaaS 提供がいかに包括的になったかの例を提供しています。この高度にローカライズされたインフラストラクチャを保護するために、フィッシングサイトは、実際のフィッシングページの前に表示されたユニークな人間認証アンチボットスクリーンを備えていました。マニュアルクリックを進行させるよう要求することで、このメカニズムはセキュリティベンダーによる自動分析を正常に妨害し、ローカライズされたキャンペーンにステルスの層を追加しました。

他のほとんどのサービスと同様に、YY Lai Yu は RCS と iMessage を活用して暗号化されたメッセージを一括送信し、被害者との同期相互作用をサポートして、ペイメントカードと OTP データを収集します。管理パネルにより、ユーザーはフィッシングされたデータをクエリして、BIN番号に従って特定の種類のカードをブロックリストまたはハイライト表示し、個々の国または地域をブロックリストに登録し、Alibabaのドメイン登録サービスを使用してフィッシングページ用に新しいドメインを登録および管理できます。さらに、パネル管理者は新しいオペレーターユーザーを作成し、アクセス許可を割り当てることができます。このサービスは、管理パネル内で購入できるドメインも提供しています。 

YY Lai Yu が日本などの国への焦点を示す一方で、より広い中国PhaaS エコシステムは広いグローバルネットを投じています。GTIG は、他の著名なサービスが定期的に自動化されたインフラストラクチャを展開して、アメリカ大陸、ヨーロッパ、オーストラリア、および中東全体のユーザーを侵害するのを観察しています。 

見通し 

これらのサービスの継続的な人気は、中国を拠点とする脅威行為者からのペイメントカード詐欺への持続的な関心を示しています。利用可能な購入のための多数の洗練されたPhaaS プラットフォームと、デジタルウォレットトークン化とMFAバイパスの悪用に対する脅威行為者の焦点は、中国を拠点とする犯罪エコシステムが進化し続け、技術スキルが限定的な脅威行為者がフィッシング操作を実施できるようになっていることを示しています。 

標準的なフィッシングセキュリティ対策（ユーザー認識トレーニングなど）は、防御の重要な最初の防線のままです。しかし、中国語PhaaS エコシステムの急増は、ユーザー教育を超えた技術セキュリティコントロールの必要性を強調しています。たとえば、FIDO2 / WebAuthn インフラストラクチャへの移行は、アカウント認証OTPの実時間傍受に対する効果的な対抗手段です。セキュリティキーはユーザーが新規のフィッシングサイトに直接ペイメント詳細を入力することを防ぐことはできませんが、盗まれた認証情報を活用することの難しさを増すことで、敵の機会を根本的に縮小しています。これらのエンタープライズ認証アップグレードは、デジタルウォレットプロビジョニング中に発行銀行によるリスクベース検証とデバイスフィンガープリントと組み合わせる必要があります。

これらのオペレーターがツールの改善を続けるにつれて、防御者の目標は、単にフィッシングを「検出する」から、被害者の認証情報を技術的に武装不可能にする必要があります。これらのプラットフォームへの継続的で頻繁な更新は、中国語を話すPhaaS オペレーターがグローバルな影響を最大化するためのツールを改善し続けていることを示しています。