TokyoBlackHatNews

malwarebytes.com 4分で読了

100万人の被害者、17,500の偽サイト:Googleが通行料詐欺師に立ち向かう

中国を拠点とする「Lighthouse」と呼ばれるフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、新たなGoogleの訴訟の対象となっています。

Lighthouseはスミッシング(SMSフィッシング)キャンペーンを可能にしており、もしあなたがアメリカにいるなら、通行料の少額請求に関する彼らのSMSを目にしたことがあるかもしれません。以下は通行料詐欺のテキストの一例です:

Image

Googleの訴訟は、連邦組織犯罪および詐欺法(RICO法)、ランハム法、コンピュータ詐欺および濫用防止法などの下で、Lighthouseプラットフォームに対する請求を提起しています。

これらのテキストは、通行料当局や他の信頼できる組織を装ったウェブサイトへターゲットを誘導します。目的は、さらなる金融詐欺に利用するための個人情報やクレジットカード番号を盗むことです。

2025年10月に報告したように、プロジェクト・レッドフックが開始され、米国国土安全保障調査局(HSI)、法執行機関、企業の力を結集し、中国の組織犯罪グループがギフトカードを使って資金洗浄を行っている実態への認知を高めています。

これらの通行料、郵便料金、返金詐欺は表面的には異なって見えますが、すべて同じ仕組みに組み込まれています。それぞれが緊急性を装った政府やサービスからの少額請求メッセージに見せかけて作られています。これらが合わさり、わずか3年で中国の犯罪グループに10億ドル以上をもたらした産業化されたテキスト詐欺エコシステムを形成しています。

Googleによると、Lighthouseだけで120カ国以上、100万人以上の被害者に影響を与えました。Netcraftの9月のレポートでは、Lighthouseおよび非常に似たPhaaSプラットフォーム「Lucid」に関連すると考えられる2つのフィッシングキャンペーンについて言及されています。これらのキャンペーンを特定して以来、Netcraftは74カ国316ブランドを標的とした17,500以上のフィッシングドメインを検出しました。

訴訟の根拠として、Googleは、自社のブランドを使って信頼性を高めるためのフィッシングサイトテンプレートを少なくとも107件発見したと述べています。しかし、訴訟だけでは限界があり、Googleは詐欺のより広範な脅威に対処するためには強力な公共政策が必要だとしています:

「私たちは政策立案者と協力しており、米国議会における重要な超党派法案への支持を本日発表します。」

訴訟や妨害、さらには法案によって通行料詐欺がなくなるのでしょうか?その可能性は高くありません。本当に効果があるのは、人々がスミッシングに引っかからなくなり、彼らの収入源が絶たれることです。教育こそが最大の武器です。

スミッシングメッセージの警告サイン

これらの詐欺で見分けるべき特徴的なサインがあります:

  1. スペルや文法の間違い:詐欺師は日付の書式に問題があるようです。例えば「September 10nd」「9st」(正しくは9thや1st)など。
  2. 緊急性:支払いまで1日か2日しか猶予がない、さもなければ…
  3. 過剰な脅し:本物の機関は、未払いの交通違反で「クレジットスコアに影響が出る」などとは言いません。
  4. でっちあげの法令番号:「Ohio Administrative Code 15C-16.003」は実際のオハイオ州BMVの行政コードとは一致しません。コードが偽物っぽい場合は、ほぼ間違いなく偽物です!
  5. 怪しい支払いリンク:本当に信頼できる組織は、緊急の「今すぐ支払わないと…」というリンクをテキストで送りません。
  6. あいまい、または個人情報がない:本物の政府機関は通常、法的な名前を使います。多くの人に同時に送られる一般的な脅しメッセージではありません。

詐欺に注意しましょう

詐欺を見抜くことが自分を守る最も重要なポイントです。常に以下のゴールデンルールを心がけましょう:

  • 電話番号やメールアドレスを検索し、既知の詐欺と関連がないか調べましょう。
  • 疑わしい場合は、連絡してきた組織の公式ウェブサイトに直接アクセスし、自分宛てのメッセージがあるか確認しましょう。
  • よく考えずに急いで決断しないようにしましょう。
  • 迷惑なテキストメッセージ内のリンクはクリックしないでください。
  • たとえ返信を求める内容であっても、返信しないでください。

もし詐欺師のウェブサイトに関与してしまった場合:

  • すぐに、侵害された可能性のあるアカウントのパスワードを変更しましょう。
  • 銀行や金融機関に連絡し、事件を報告して口座の凍結や不審な活動の監視など、必要な措置を取りましょう。
  • 詐欺警告や信用凍結を検討しましょう。保護を強化するため、主要な3つの信用情報機関すべてで詐欺警告や信用凍結を行うことをおすすめします。これにより、詐欺師があなた名義で新しい口座を開設するのが難しくなります。
  • 米国市民は、身元盗用が確認された場合、FTCのidentitytheft.govで報告できます。

プロのヒント:どんな種類の怪しいメッセージでもMalwarebytes Scam Guardにアップロードできます。詐欺の可能性があるかどうか、またどうすればよいかアドバイスしてくれます。

翻訳元: https://www.malwarebytes.com/blog/news/2025/11/1-million-victims-17500-fake-sites-google-takes-on-toll-fee-scammers

ソース: malwarebytes.com
#AIサイバーセキュリティ #AIフィッシング #AWS/Google Cloud攻撃 #Lighthouse #SMS詐欺 #スミッシング #中国系犯罪組織 #個人情報漏洩 #偽サイト #訴訟

関連記事

偽のCAPTCHA詐欺が素早いクリックを高額な電話代に変える

中国人エンジニアが米軍とNASAのソフトウェアを数年間盗んだ

50万人の英国ボランティアの医療データがAlibabaで販売されている