Google、「Lighthouse」フィッシング・アズ・ア・サービス作戦の抑制を目指す

出典：Pictorial Press Ltd（Alamyストックフォト経由）

Googleは本日、「Lighthouse」と呼ばれる大規模なフィッシング・アズ・ア・サービス作戦の背後にいる個人に対して法的措置を取りました。この作戦は、偽の通行料金や荷物配達に関する詐欺メッセージの多くを担っています。

Googleによると、Lighthouseフィッシングキットは、ユーザーの認証情報や銀行情報、その他の貴重なデータを収集するための悪意あるリンクを含む大量のSMSフィッシングメッセージ、つまりスミッシングを送信するよう設計されています。Lighthouse関連の攻撃は、E-ZPassやGoogleなどの有名ブランドになりすまし、被害者をリンククリックや正規に見えるウェブサイトへの情報入力へと誘導します。

「これらの犯罪は世界中で莫大な経済的被害をもたらしています。Lighthouseは、120カ国以上で100万人以上の被害者に被害を与え、米国だけで1,270万枚から1億1,500万枚のクレジットカードを盗みました」とGoogleの法務顧問ハリマ・デレイン・プラド氏はブログ投稿で水曜日に述べました。「これは2020年以降、この種の攻撃が5倍に増加したことを意味します。」

Googleは、Lighthouseの背後にいるサイバー犯罪グループ「Smishing Triad」の一員とされる25人の匿名の個人に対して訴訟を起こしました。テック大手は、組織犯罪取締法（RICO法）、ランハム法、コンピュータ詐欺および濫用防止法（CFAA）に基づき、未特定の損害賠償と差止命令を求めています。

Lighthouseフィッシングキットの内部

ニューヨーク南部地区の連邦裁判所に提出されたGoogleの訴訟は、中国のサイバー犯罪者によって運営される広範なフィッシング・アズ・ア・サービス作戦の詳細を明らかにしています。この作戦は世界中の数百万人に対して「容赦ない」攻撃を仕掛けています。Lighthouseは、サイバー犯罪者が大規模なキャンペーンを実行するための知識がなくても使える「フィッシング for ダミーズ」ツールとして機能していました。

「Lighthouseフィッシング攻撃の規模は驚異的です。20日間で、Lighthouseを使って作成された約20万件の不正ウェブサイトが利用されました」とGoogleは訴状で述べています。

Smishing Triadの関係者は、犯罪者に対してLighthouseキットを月額ライセンス料で提供しており、SMS版またはeコマース版のソフトウェアを購入できます。キットには、偽サイト用の数百種類のテンプレートや、偽サイトのドメイン設定ツールが含まれています。

Googleによれば、このツール自体に加え、運営者はYouTubeやTelegramチャンネルを通じてLighthouseの利用を支援する大規模なオンラインコミュニティも構築しました。例えば、作戦内の「管理グループ」は、現在は停止されたYouTubeチャンネルを使い、Lighthouseの宣伝や、購入希望者にフィッシングやスミッシング攻撃の実行方法を教える動画を公開していました。

Lighthouseが企業にもたらすリスク

Lighthouseによる活動の多くは未払い通行料や紛失荷物に関する消費者向けメッセージのように見えますが、フィッシングキットは利用可能なテンプレート次第で特定の企業や政府ユーザーを標的にすることも考えられます。さらに、専門家は、職場と家庭の境界が曖昧になることで、マルバタイジングキャンペーンやスミッシング詐欺などの脅威に対して組織がより大きなリスクにさらされると警告しています。従業員が悪意あるリンクをクリックした場合、攻撃者は個人のメール認証情報や銀行情報以上のものを収集できる可能性があります。

Googleはまた、Smishing Triadの関係者が盗んだクレジットカード情報を使って犯罪活動を拡大していると指摘しています。例えば、Google広告アカウントの支払いに利用し、フィッシングサイトの広告を出稿しています。さらに、このグループは乗っ取った証券口座を使い、「ポンプ・アンド・ダンプ」スキームのために株式を購入しています。

Silent Pushの脅威インテリジェンスディレクター、ケイシー・ベスト氏はDark Readingに対し、Smishing Triadの関係者はしばしば盗んだ資金でペニーストック（低位株）を購入し、その株への需要を高めて株価を上昇させ、ポジションを売却して利益を得ていると述べています。

「最近観測されている、スミッシングに特化した脅威アクターが、デジタルウォレットを使ったクレジットカードや銀行口座の現金化をはじめ、従来のクレジットカード詐欺手法を組み合わせて展開する、より複雑な『スミッシング株式ボイラールーム』スキームへの移行は、企業や規制当局にとって非常に憂慮すべき事態です」とベスト氏は述べています。

Smishing Triadへの反撃

今回の訴訟では、Lighthouseの運営者25人の身元は特定されていませんが、Googleは2,500人以上のメンバーがいるLighthouse関連のTelegramチャンネルの管理者アカウントをいくつか挙げました。「これらのTelegramチャンネルは、Enterpriseのメンバーが集まり、戦略や専門分野について議論し、互いに訓練し、具体的なLighthouseフィッシングスキームを開発・公開議論する主要な場所です」とGoogleは訴状で述べています。

Telegramチャンネルが削除されたかどうかは不明です。Dark ReadingはGoogleに追加コメントを求めましたが、広報担当者は「これ以上付け加えることはない」と述べました。

Telegramは近年、悪用やサイバー犯罪活動を放置しているとして批判を受けています。TelegramのCEOパベル・デュロフ氏は、犯罪活動に関する法執行機関からの要請に応じなかったとして2024年にフランス当局に逮捕されましたが、その後釈放されました。

Silent Pushは、4月にLighthouseとSmishing Triadに関する調査を発表し、Smishing Triadのフィッシングサイトの半数以上が中国のTencentとAlibabaの2社によってホスティングされていたと指摘しています。ベスト氏によれば、こうしたリンクは通常数日間しか有効ではありませんが、新しいキャンペーンが開始されるたびに大量の新しいリンクが毎日作成されています。

「我々のチームは、現在もTencentやAlibabaで大部分のインフラがホスティングされているのを確認していますが、両社は一部の削除要請には対応しています」と彼は述べています。

訴訟に加え、Googleはサイバー犯罪や詐欺の抑制を目的とした議会の「重要な超党派法案」をいくつか支持しているとデレイン・プラド氏は述べました。これには、高齢者詐欺防止法（GUARD法）、外国ロボコール排除法、詐欺対策説明責任・動員法（SCAM法）が含まれます。