Googleは、数百の信頼されたブランドになりすまし、テキストメッセージの誘い文句を大量送信し、フィッシングで得た支払いカード情報をAppleやGoogleのモバイルウォレットに変換する、中国を拠点とした人気のモバイルフィッシングサービスの販売に関与しているとされる、20人以上の匿名の個人を提訴しています。
Googleは、11月12日にニューヨーク南部地区裁判所に訴訟を提起し、モバイルユーザーから支払いカード情報を盗むことを初心者でも簡単にできるようにする高度なフィッシングキットLighthouseの販売に関与しているとされる25人の「ジョン・ドウ」被告の身元特定と活動撹乱を求めました。Googleによれば、Lighthouseは120カ国以上で100万人以上の被害者に被害を与えています。
カリフォルニア州オレンジ郡を通るいくつかの州道を指すThe Toll Roadsの顧客を標的とするために作られた、中国製フィッシングキットLighthouseのコンポーネント。
Lighthouseは「Smishing Triad(スミッシング・トライアド)」として知られる複数のフィッシング・アズ・ア・サービス事業の一つであり、これらは米国郵便公社を装った数百万件のテキストメッセージを送信し、未払いの配送料金を徴収すると偽ったり、地元の有料道路運営者になりすまして未納料金の警告を装ったりしています。最近では、Lighthouseはeコマースサイト、金融機関、証券会社のなりすましにも利用されています。
使用されるテキストメッセージの誘い文句やブランドに関わらず、基本的な詐欺の手口は同じです。訪問者が支払い情報を入力すると、フィッシングサイトは自動的にそのカードをAppleまたはGoogleのモバイルウォレットとして登録しようとします。その後、フィッシングサイトは、銀行が取引を確認するためにワンタイムコードを送信するので、それを支払いページに入力するよう指示します。
受信者がそのワンタイムコードを提供すると、詐欺師は被害者のカード情報を自分たちが管理するデバイスのモバイルウォレットに紐付けることができます。研究者によれば、詐欺師は通常、複数の盗まれたウォレットを各モバイルデバイスに登録し、その登録から7~10日後に端末を売却したり、不正利用に使ったりします。
GoogleはLighthouseによるフィッシング攻撃の規模を「驚異的」と表現しています。2025年5月のSilent Pushの報告によると、Smishing Triadが使用するドメインは頻繁に切り替えられており、8日間の期間中に約25,000のフィッシングドメインが稼働しているとのことです。
Googleの訴状では、Lighthouseの販売者が無数のフィッシングサイトにGoogleのロゴを使用することで、同社の商標権を侵害したと主張しています。訴状によれば、Lighthouseは400以上の企業向けに600以上のフィッシングサイト用テンプレートを提供しており、そのうち少なくとも4分の1のテンプレートにGoogleのロゴが使われていました。
Googleはまた、組織犯罪取締法(RICO法)の下でもLighthouseを追及しており、Lighthouseのフィッシング事業が、一般市民を標的とした複雑な犯罪計画を設計・実行するために連携する複数の脅威アクターグループで構成されていると述べています。
Googleによれば、これらの脅威アクターグループには、フィッシングソフトウェアとテンプレートを提供する「開発者グループ」、ターゲットリストを提供する「データブローカーグループ」、大量の不正テキストメッセージ送信ツールを提供する「スパマーグループ」、フィッシング情報の現金化を担当する「窃盗グループ」、そしてTelegramのサポートチャンネルやディスカッショングループを運営し、協力や新規メンバーの勧誘を促進する「管理グループ」が含まれます。
「エンタープライズの異なるメンバーがスキーム内で異なる役割を果たしている場合でも、全員がLighthouseソフトウェアに依存したフィッシング攻撃の実行に協力している」とGoogleの訴状は主張しています。「エンタープライズのスキームは、メンバー間の協力と連携なしには収益を生み出せません。すべての脅威アクターグループは、Lighthouseの利用やその利用を支えるオンラインコミュニティ(YouTubeやTelegramチャンネル上に存在)を通じて、過去および現在のビジネス関係で相互に結びついています。」
Silent Pushの5月の報告によれば、Smishing TriadはLighthouseに関与する「世界中で300人以上のフロントデスクスタッフ」がいると自慢しており、これらのスタッフは主にグループの詐欺や現金化スキームの様々な側面をサポートしています。
SMSフィッシンググループが共有した画像。大量のフィッシングメッセージ送信を担うモバイル端末のパネルが写っています。これらのパネルは、被害者から共有されたワンタイムコードが数分で期限切れになるため、リアルタイムのオペレーターが必要です。
Googleは、既存ブランドを装ったテキストメッセージの大量送信に加え、Lighthouseが顧客に偽のeコマースサイトを大量作成させることを容易にし、これらのサイトがGoogle広告アカウントで宣伝され(支払いは盗まれたクレジットカードで行われる)、チェックアウト時に支払いカード情報を収集し、金融機関から送信されるワンタイムコードの入力を促すと主張しています。
再び、そのワンタイムコードは、偽のeコマースサイトが被害者の支払いカード情報をモバイルウォレットに登録しようとしたために銀行から送信されます。被害者が偽のeコマースショップで購入した商品が届かないことに気づく頃には、詐欺師は高級家電店や宝石店などで数百ドルもの不正利用をすでに行っています。
Ford Merrill氏は、SecAlliance(CSIS Security Group傘下)のセキュリティ研究者で、数年間にわたり中国のSMSフィッシンググループを追跡しています。Merrill氏によれば、多くのLighthouse利用者がGoogleやMetaのプラットフォームで宣伝される偽のeコマースサイトを立ち上げるためにこのフィッシングキットを使っています。
「特定の商品をネットで検索してこのショップを見つけたりして、お得だと思うわけです」とMerrill氏。「でも、もちろん商品は届かず、チェックアウト時にワンタイムコードをフィッシングされるのです。」
Merrill氏によれば、いくつかのフィッシングテンプレートにはPayPalなどのサービス用の支払いボタンも含まれており、PayPalで支払った被害者もPayPalアカウントを乗っ取られる可能性があります。
Smishing Triadによる偽のeコマースサイトが、モバイル端末上でPayPalを装っています。
「偽のeコマースサイトの主な利点は、誘い文句のメッセージを送る必要がないことです」とMerrill氏は述べ、偽のベンダーサイトは従来のフィッシングサイトよりも詐欺として通報されるまでの期間が長いため、より長く存続できると指摘しています。
Merrill氏は、Googleの法的措置が一時的にLighthouse運営者を撹乱し、米国連邦当局がグループに対して刑事告発を行うのを容易にする可能性があると述べています。しかし、中国のモバイルフィッシング市場は現在非常に儲かるため、人気のフィッシングサービスが自発的に活動を停止するとは考えにくいとも述べています。
Merrill氏は、Googleの訴訟が、Lighthouseや他のフィッシング・アズ・ア・サービス事業体に対する今後の撹乱行動の基盤を築くのにも役立つと述べています。Silent Pushによれば、これらのキットで作成されたフィッシングサイトの大半は、中国のホスティング会社Tencent(AS132203)とAlibaba(AS45102)にホスティングされています。
「Googleが裁判でLighthouse運営者に対してデフォルト判決を得れば、理論的にはAlibabaやTencentに対して『これらの人物が有罪となった。これが彼らのドメインとIPアドレスだ。これらを停止しなければ、あなた方も訴訟対象にする』と言えるようになるでしょう。」
Googleがこの種の法的圧力を継続的にかけ続けることができれば、詐欺師のコストを増加させ、彼らの活動をより頻繁に撹乱できるかもしれないとMerrill氏は述べています。
「中国のフィッシングキット開発者全体を見れば、関与している中国語話者は数万人規模だと思います」と彼は言います。「Lighthouseの連中は、おそらくTelegramチャンネルを一時的に閉鎖して姿を消すでしょう。サービス名を変えたり、完全に作り直すかもしれません。しかし、彼らが完全に撤退して永遠に姿を消すとは思いません。」
翻訳元: https://krebsonsecurity.com/2025/11/google-sues-to-disrupt-chinese-sms-phishing-triad/
