Google、「Lighthouse」スミッシングキットの解体を求めて訴訟を提起

このグループは、サイバー脅威者が大規模なスミッシング攻撃を生成・展開するために使用するPhaaSキット「Lighthouse」を運営したとして非難されています。

訴訟に付随する声明の中で、Googleの法務顧問であるハリマ・デレイン・プラド氏は、このキットがGoogleのブランドをサインイン画面に使用した少なくとも107種類のウェブサイトテンプレートと関連していると述べました。これらの詐欺サイトは、人々を本物のサイトだと信じ込ませるために特別に設計されています。

Lighthouseと「スミッシング・トライアド」

Lighthouseは、特に「スミッシング・トライアド」と呼ばれることもある緩やかに結びついた集団によって、主に西側の大手金融機関やオーストラリアの銀行、さらにはアジア太平洋（APAC）地域を標的としたスミッシング攻撃の展開に使われてきました。

2025年4月のSilent Pushレポートによると、スミッシング・トライアド集団は2023年から活動しており、Lighthouseキットの最新バージョンは2025年3月18日にTelegram上で公開されました。

スミッシング・トライアドの攻撃対象は、郵便、物流、通信、交通、金融、小売、公共部門など多岐にわたります。

訴状では、Lighthouseは「初心者向けフィッシング」キットと表現されており、大規模なフィッシングキャンペーンを独自に実行できないサイバー犯罪者向けだとされています。

このキットは、詐欺用フィッシングサイトのテンプレートを600種類以上提供しており、「それぞれが400以上の組織や機関の正規サイトに似せて設計されている」と訴状で主張されています。

Lighthouseの利用者は、地域、国、公式ウェブサイト、更新日時でテンプレートを絞り込んだり検索したりできます。少なくとも116種類のテンプレートには、サインイン画面にGoogleのロゴ（YouTube、Gmail、Google、Google Play）が使われていると、Googleは述べています。

このキットは、2023年7月から2024年10月の間に、32,094件の米国郵便公社（USPS）フィッシングサイトの立ち上げに使われ、平均5万回のページ訪問があったと報告されています。

Googleのデレイン・プラド氏はまた、Lighthouseが121カ国以上で100万人以上を標的にしたと主張しています。

「この詐欺の手口は単純です。犯罪者がテキストメッセージを送り、受信者にリンクをクリックさせ、メール認証情報や銀行情報などの情報を入力させます。彼らはGoogleや他ブランドの評判を悪用し、違法に商標やサービスを詐欺サイトに表示しています」とデレイン・プラド氏は説明しました。

訴状の中で、Googleはまた、Lighthouseが高度なハブとして機能しており、データ収集者からSMSスパマー、盗難データの仲介業者まで、専門チームが専用フォーラムを通じて連携し、大規模なフィッシング攻撃を展開・洗練・収益化していると述べています。

Googleは、Lighthouseの運営を停止させるには、極めて適応性が高く分散型であるため、グループが最小限のリソースでインフラを素早く切り替え、新たなフィッシングキャンペーンを開始できることから、継続的かつ長期的な取り組みが必要だと判断しています。

Google、詐欺対策強化のため米国の3法案を支持

単一の作戦に対応できる法的措置に加え、Googleはフィッシングやスミッシング詐欺というより広範な脅威に対応するため、より広い公共政策の必要性も訴えました。

テック大手は、米国議会における超党派の3つの法案を支持すると発表しました：

• 高齢退職者を詐欺から守る（GUARD）法案：Googleによれば、「州および地方の法執行機関が、退職者を標的とした金融詐欺や詐欺の捜査に連邦助成金を活用できるようにする」もの
• 外国ロボコール排除法案：「米国消費者に届く前に、外国発の違法なロボコールを最適にブロックする方法に特化したタスクフォースを設立する」もの
• 詐欺拠点責任追及・動員（SCAM）法案：「詐欺拠点に対抗する国家戦略を策定し、制裁を強化し、これらの拠点での人身売買の被害者を支援する」もの

テック大手はまた、新たな詐欺防止機能の導入も発表しました。これには、偽の通行料請求や荷物配達などの詐欺メッセージをAIで検出するシステムや、アカウント復旧オプションの拡充（リカバリーコンタクト：友人や家族にアカウント復旧を依頼できる機能）が含まれます。