Google、Lighthouse「初心者向けフィッシング」キットの背後にいる中国拠点の詐欺師25人を提訴

Googleは、Lighthouseフィッシング作戦の一環として米国で1億1500万件以上のクレジットカード番号を盗んだとされる、中国拠点の身元不明の詐欺師25人を提訴しました。

Lighthouseは、フィッシングソフトウェアサービスであり、訴状 [PDF] では「初心者向けフィッシング」キットと説明されています。犯罪者は毎月のサブスクリプション料金を支払い、偽サイト用の数百種類のテンプレートや、これらの偽サイト用のドメイン設定ツール、その他被害者を本物のウェブサイトだと信じ込ませるための機能にアクセスできます。犯罪者たちはこれらのサイトを利用して被害者に金融情報やその他の機密情報を入力させ、それを盗み取っています。

これらの詐欺には、被害者に「未払い通行料違反」や「荷物が止まっている」といった内容のSMSを送り、米国郵便公社からの通知を装うものも含まれています。

Silent Pushのセキュリティ研究者によると、20日間でLighthouseを利用する犯罪者は121カ国で100万人以上の被害者を狙うために20万件以上の偽サイトを作成しました。

合計で、Lighthouseは400以上の組織の本物のウェブサイトを模倣した600以上のフィッシングサイトを提供しています。これらのテンプレートのうち少なくとも116件は、YouTube、Gmail、Google Playのサインイン画面など、Googleのロゴを使用しており、ここでGoogleの弁護士が登場することになります。

訴状によると、これらのフィッシング攻撃はGoogleの顧客および同社自体に対し、商標やサービスの不正使用を通じて被害を与えています。

「被告らは、Googleの顧客を含む何百万人もの無実の被害者に対して執拗なフィッシング攻撃を行い、個人情報や金融情報を盗んできた外国のサイバー犯罪者集団です」と訴状は主張しています。「これらの攻撃は、無実の被害者から総額数百万ドルをだまし取り、Googleにも商標やサービスの不正使用による被害をもたらしました。」

Googleの訴状は、組織犯罪取締法（RICO法）、1946年商標法、コンピュータ詐欺および濫用防止法を引用し、Lighthouse詐欺の撲滅と運営者による今後の被害防止を目指しています。また、フィッシング活動によって犯罪者が得た損害賠償の回収も求めています。

なお、訴状に記載された25人の「Doe（身元不明の被告）」が米国の法廷に立つ可能性は極めて低く、Lighthouseフィッシングキットが閉鎖されることもほとんどありません。なぜなら、彼らは中国にいると考えられるためです。北京政府は米国への身柄引き渡しをほとんど認めず、外国人被害者から金銭を盗む中国人詐欺師を訴追することも稀です。

7月には、Googleは同様の訴訟を中国の身元不明の個人25人に対して起こしました。彼らは世界中で1,000万台以上のデバイスに侵入し、それらをボットネット（BadBox 2.0）として構築し、他のサイバー犯罪や詐欺に利用したとされています。

これらの個人の誰も米国の法廷に立ったことはなく、Human SecurityのCISOであるGavin Reid氏はThe Registerの以前のインタビューで「Badbox 3が登場するだろうと予想しています」と語っています。

Human SecurityはGoogleや他のセキュリティ組織と協力し、乗っ取られたデバイスを指示するC2サーバーやドメインの特定を行いました。

法律が必要だ

こうした障害があるためか、Googleは米国の議員と協力し、「詐欺のより広範な脅威に対処できる」公共政策に取り組んでいると述べ、外国のサイバー犯罪を防ぐことを目的とした超党派の法案3件を支持しました。

最初の法案は、高齢退職者を詐欺から守る（GUARD）法案で、連邦法執行機関が州や地方警察と協力し、ブロックチェーン技術の追跡ツールを使って暗号通貨を利用した詐欺師の摘発を支援できるようにします。また、既存の連邦プログラムの助成金受給者が、金融詐欺の調査のためにブロックチェーンを活用するためのリソースや人員を増やす目的で資金を使用できるようにもなります。

2つ目の外国ロボコール排除法は、連邦政府と民間部門の協力を強化し、米国に届く前に外国発の違法ロボコールを最適にブロックする方法に特化したタスクフォースの設立を目指します。

最後に、詐欺拠点責任追及・動員法は、詐欺拠点に対抗するための国家戦略の策定・実施、国際詐欺拠点運営を支援する外国人に対する国際緊急経済権限法（IEEPA）制裁の大統領による発動、そして人身売買被害者の支援を盛り込んでいます。®