はじめに:巧妙化するSMSフィッシングの脅威
中国を起源とする、大規模かつ巧妙なSMSフィッシング(スミッシング)キャンペーンが、世界中のユーザーにとって重大な脅威として浮上しています。セキュリティ研究者たちは、この継続的な攻撃を「Smishing Triad」として知られるグループによるものと特定しています。彼らは、毎日何千もの悪意あるドメインを登録・運用できる分散型インフラを通じて、前例のない規模と複雑さを示しています。
2024年1月以降、セキュリティアナリストは、この作戦に関連する194,000以上の悪意あるドメインを特定しました。このキャンペーンは2024年4月以降、米国居住者を積極的に標的にしており、その世界的リーチと被害者層を急速に拡大しています。
攻撃の手口と標的
この攻撃は、偽の通行料違反通知や荷物誤配送通知をSMS経由で配信することで行われます。これにより、被害者に即座の行動を促す人工的な緊急性を生み出します。攻撃者は、銀行、仮想通貨プラットフォーム、Eコマース、医療、法執行機関、ソーシャルメディアなど、重要な分野の正当な国際サービスを偽装しています。
採用されているソーシャルエンジニアリングの手口は著しく進化しており、パーソナライズされた情報、専門用語、そして国民識別番号、自宅住所、支払い詳細、ログイン資格情報などの機密データを抽出するために設計された、現実的なフィッシングページが組み込まれています。
高度なインフラと組織的運用
このキャンペーンを支えるインフラは、高度に組織化された作戦であることを示しています。ドメインは香港を拠点とするレジストラを通じて登録され、中国のネームサーバーを利用していますが、実際の攻撃インフラは主に米国のクラウドサービス、特にCloudflareネットワーク内でホストされています。
このキャンペーンは、単一の制御点がなく、常に進化するホスティングプロバイダーの配列を持つ、顕著な分散化を示しています。攻撃者は主に香港を拠点とするレジストラであるDominet Limitedを通じてドメインを登録しており、特定されたルートドメインの約68%を占めています。残りの登録はNamesiloとGnameに分散されており、検出とブロックメカニズムを回避するための迅速なドメインローテーションを可能にしています。
ドメイン分析は、被害者を欺くことを目的とした意図的な設計パターンを明らかにしています。多くのドメインは、正当なサービスを模倣したハイフン付きの命名構造に従っています。例えば、「irs.gov-addpayment[.]info」のようなドメインは、カジュアルな検査中に公式政府ウェブサイトのように見えるように作られています。最も一般的に偽装されているサービスは米国郵便サービスで、約28,000の専用フィッシングドメインがあります。一方、通行料サービスは、約90,000の専用FQDNを持つ最大のカテゴリを占めています。
登録されたドメインのほとんどは、驚くほど短い寿命を示しており、約29%が2日以下、82%以上が2週間以内に失効しています。
Phishing-as-a-Service (PhaaS) エコシステム
この作戦は、洗練されたPhishing-as-a-Service(PhaaS)エコシステムとして機能しており、専門化された脅威アクターが攻撃サプライチェーンの異なる段階を管理しています。このページには、ユーザーを操作して悪意のあるスクリプトを実行させるように設計された偽のCAPTCHAページが含まれています。
- 上流の参加者:ターゲットの電話番号を販売するデータブローカー、使い捨てドメインを登録するドメイン販売業者、インフラを提供するホスティングプロバイダー。
- 中流の作戦:フィッシングウェブサイトを作成し、盗まれた資格情報を収集するためのダッシュボードを維持するフィッシングキット開発者。
- 下流の参加者:SMSおよびRCS配信を大規模に行い、アクティブな電話番号を確認し、ブロックリストの有効性を監視するサポートスペシャリスト。
この分業化により、効率的なスケーリングと個々のオペレーターのリスク低減が可能になっています。
進化する戦略と対策
研究によると、このキャンペーンはターゲット戦略を継続的に進化させています。2025年5月までは「com-」プレフィックスのドメイン登録が好まれていましたが、最近数ヶ月では「gov-」ドメイン登録が大幅に増加しており、政府サービスをより効果的に偽装するための戦術的適応を示唆しています。メッセージはフィリピンの国番号で始まる電話番号から発信されていましたが、米国の電話番号もますます利用されるようになり、帰属の特定と被害者の認識を複雑にしています。
セキュリティ専門家は、見知らぬ送信者からの未承諾メッセージには細心の注意を払うよう推奨しています。ユーザーは、緊急の行動を要求するいかなる要求も、公式サービスプロバイダーのウェブサイトまたはアプリケーションを通じて独自に確認し、疑わしいメッセージに含まれるリンクをクリックしたり、電話番号にかけたりすることを避けるべきです。このキャンペーンの世界的規模、複雑なインフラ、そして現実的なフィッシングページは、十分なリソースを持つ組織的なフィッシング作戦がもたらす重大な脅威を示しています。