Googleは2025年に米国全土で発生した大規模なフィッシングSMS攻撃の巨大な波の「中心的な推進役」だと同社が説明する中国語圏のグループに対し、訴訟を提起した。Googleによれば、「Darcula」として知られるこのグループは、技術的な専門知識がほとんどない個人でさえ、政府機関や主要ブランドになりすました大規模キャンペーンを実行できるツールを販売しており、被害者を偽サイトへ誘導してクレジットカード情報を収集しているという。
訴状では、Darculaが送信者のなりすまし機能を備えた、SMSキャンペーンを「大規模に」展開するためのソフトウェア・ツールキットを販売していると主張している。たとえば、IRS(米国内国歳入庁)や米国郵便公社を装うことができるという。同グループの主力製品「Magic Cat」は、洗練され直感的なビルダーとして説明されており、運用者が何百万もの電話番号に対して、西側のサービスや企業を模倣した偽ページへのリンクを大量送信し、被害者が気づかずに入力した支払い情報(クレジットカード番号を含む)を収集できるとされる。
Googleは、この訴訟の目的は、Darculaの活動を支えるウェブサイトやその他のウェブ基盤を差し押さえ、管理下に置くための法的権限を米国の裁判所から得ることだとしている。同社は、当該インフラを合法的に引き継いで停止できるようにする一時差止命令を求めており、これによりSMSキャンペーンと不正な誘導先ページの双方を妨害できるとしている。
Darculaのメンバーの身元は、依然として大部分が不明のままだ。Googleは、同グループが主に簡体字中国語でやり取りしていると指摘している。訴状では、リーダーと疑われる人物としてYucheng Changの名が挙げられているが、連絡を取ろうとする試みは成功しなかった。提出書面ではさらに、身元が明かされていない被告24人にも言及しており、Googleは彼らが誰なのかをまだ把握していないとしている。同社によれば、Changは中国に居住しており、他の参加者も中国または別の地域にいるとみられる。
Googleは、この種のサイバー犯罪エコシステムは、米国の法執行機関との協力に消極的な法域で繁栄しがちで、直接介入が極めて困難になることが多いと強調する。その結果、GoogleやMicrosoftを含む大手テクノロジー企業は、戦略的手段として定期的に裁判所を利用し、犯罪インフラに結び付いたドメインやウェブサイトを法的命令で差し押さえ、ネットワークレベルで無効化している。
今年初め、Darculaは自らのツールの能力を公然と披露した。Telegramチャンネルに投稿された動画で、同グループは、E-ZPassの通行料金が未払いだとされる警告を受信者に送るSMSキャンペーンの設定方法を実演した。そのTelegramチャンネルはその後オフラインとなり、同グループからのコメントは得られなかった。
声明で、Googleの訴訟担当副社長カサンドラ・ナイトは、同社が大規模な詐欺作戦の背後にある「インフラを停止する」ために法廷に向かうと述べた。Googleは、この作戦が今年初めのある期間におけるフィッシングSMS全体のおよそ80%を占めていたと推定している。同社は、Darculaとその関係者が、米国居住者のもの約4万件を含む、約90万件近いクレジットカード番号を盗んだ可能性があると主張している。9月から11月の間だけでも、GoogleはGoogle Messages(Google Pixelスマートフォンの既定のSMSアプリ)のユーザーから、Darculaの手口に関連するメッセージについて5,000件を超える苦情を受け取ったという。
この訴訟では、ノルウェーの放送局NRKによる調査にも言及している。NRKは、サイバーセキュリティ研究者が入手したMagic Catに関連する大規模データセットを分析した。NRKは、SMSキャンペーンの背後には600人を超える運用者がいたと結論付けた。調査によれば、西側企業や政府機関になりすますために用いられた偽装の種類は多岐にわたる一方で、Magic Catのツールは、中国を代表して送信されたメッセージであるかのように装うキャンペーンは可能にしていなかったという。
この事案は、米国におけるサイバー犯罪による損失が拡大しているという、より広範な傾向の一部に当てはまる。FBIのインターネット犯罪苦情センター(IC3)の年次報告書によれば、昨年、米国人はサイバー犯罪者により過去最高の166億ドルが盗まれたと報告した。
