はじめに – Googleが大規模フィッシング詐欺組織を追及

身に覚えのない通行料の請求や、配送失敗を装ったスパムテキストを受け取った経験はありませんか？これらのメッセージは、「Phishing-as-a-Service（サービスとしてのフィッシング）」を提供する「Lighthouse」と呼ばれるネットワークから発信されている可能性があります。Googleは現在、この組織の解体を目指し、訴訟を提起しました。

「Lighthouse」とは何か？ – 詐欺の仕組み

Googleが新たに提出した訴状によると、Lighthouseは「大規模なフィッシングキャンペーンを実行できないサイバー犯罪者のための『フィッシング入門キット』」を提供しているとされています。このグループは、月額ライセンス料を徴収し、金融機関や政府関連組織（例：USPS、E-Z Pass）に酷似した数百ものウェブサイトテンプレートを含むSMSまたはEコマースソフトウェアを提供していました。これにより、消費者を騙して機密情報を入力させることが可能になります。

Lighthouseの悪質な手口の一つは、ユーザーがリンクをクリックした後に展開されます。詐欺師はLighthouseのアカウントにログインし、Googleのロゴが表示されたサインインページを介して、USPSを装ったテキストを送信します。このテキストは、配送完了のために手数料が必要だと偽り、ユーザーを偽のUSPSページに誘導して個人情報や支払い情報を入力させます。驚くべきことに、このページはユーザーのキーストロークを追跡するため、ユーザーが送信をためらったとしても情報はすでに漏洩している可能性があります。入力された情報はLighthouseのダッシュボードにきれいに表示され、詐欺師が利用できるようになります。

驚異的な被害規模

Googleの主張によれば、わずか20日間でLighthouseは20万もの不正ウェブサイトを立ち上げ、100万人以上の潜在的な被害者を引きつけました。米国では、1270万から1億1500万枚のクレジットカードがこの詐欺によって侵害されたと推定されています。

Googleの法的措置と目的

Googleは、Lighthouseを構成する複数の匿名被告に対し、組織的犯罪対策法（RICO Act）、詐欺、および商標権侵害の容疑で訴訟を起こしました。LighthouseがGoogleの名称やロゴを不正なウェブサイトで使用し、同社のブランドを脅かしたと主張しています。

Googleの法務顧問であるハリマ・デレイン・プラド氏によると、この訴訟の目的は、Lighthouseのスキームを違法と宣言させ、他のテクノロジープロバイダーからもこのグループを排除することにあります。また、訴訟を通じてLighthouseに関するさらなる情報を得ることも目指しています。Lighthouseの拠点は中国にあるとされていますが、Googleはまだ被告の身元や正確な人数を特定できていません。

今後の展望と政策提言

Lighthouseのような詐欺サイトを容易に立ち上げられる現状を鑑みると、その解体には「粘り強さ」が必要だとGoogleは述べています。同時に、Googleはこのようなスキームに対処するための3つの連邦法案、すなわちGUARD Act、Foreign Robocall Elimination Act、およびSCAM Actを支持しています。これらの法案は、州および地方の法執行機関が退職者を狙った詐欺に対処するための資金提供、海外からの違法なロボコールを阻止するためのタスクフォースの設立、そして詐欺スキームに人々を巻き込む国際的なグループへの責任追及を支援するとされています。

デレイン・プラド氏は、これらの政策が導入されたとしても、オンライン詐欺との戦いにおいてGoogleのような企業の役割は引き続き重要であると強調しています。「企業が可能な限り、できることを行うことも重要です」と彼女は述べ、「ユーザーに影響を与えるサイバー犯罪と戦うために、我々のリソースを活用することは有益なことです。我々はそれを大規模に行うことができます。このような不幸なケースが発生し、我々がその行動に光を当てることができると考える限り、今後も継続していくでしょう。」

---

元記事: https://www.theverge.com/news/818554/google-lighthouse-text-spam-lawsuit