Googleがフィッシングプラットフォーム「Lighthouse」を提訴
Googleは、世界中のサイバー犯罪者がSMSフィッシング(スミッシング)攻撃を通じてクレジットカード情報を盗むために使用している「Lighthouse」と呼ばれるフィッシング・アズ・ア・サービス(PhaaS)プラットフォームの解体を目的とした訴訟を提起しました。このプラットフォームは、米国の郵便サービス(USPS)やE-ZPassなどの有料道路システムを装い、詐欺を行っています。
Googleによると、Lighthouseは120カ国で100万人以上の被害者に影響を与え、2023年7月から2024年10月の間に米国だけで最大1億1500万枚の支払いカードが盗まれたと推定されています。Googleは、連邦恐喝および詐欺法(RICO法、Lanham法、Computer Fraud and Abuse Act)に基づき、Lighthouseプラットフォームに対して訴訟を起こしています。
Lighthouse PhaaSの巧妙な手口
Lighthouseは、サイバー犯罪者にフィッシングテンプレートとインフラを提供し、USPSやE-ZPassなどの有名サービスを騙るテキストメッセージを送信させます。これらのスミッシングテキストに含まれるリンクは、未払いの通行料があるかのように見せかける偽の有料道路当局サイトに誘導します。しかし、これらのサイトの真の目的は、個人情報とクレジットカード番号を窃取し、さらなる金融詐欺に利用することです。
Googleは、自社のブランドを悪用したフィッシングウェブサイトテンプレートを少なくとも107種類発見しました。これらのテンプレートは、Googleのサインイン画面にGoogleのブランディングを違法に表示し、ユーザーを騙してサイトが正規のものであると信じ込ませるように設計されています。
脅威アクターと技術的側面
Cisco Talosの研究者たちは、Lighthouseを「Wang Duo Yu」として知られる中国の脅威アクターが開発したスミッシングキットと関連付けています。Wang Duo YuはTelegramチャンネルを運営し、Lighthouseのフィッシングキットを販売・サポートしています。
このフィッシングプラットフォームは、iMessage(iOS)およびRCS(Android)を介してテキストメッセージを送信できるため、スパムフィルターを回避する可能性があります。Talosの報告によると、2024年10月以降、複数の脅威アクターがWang Duo Yuのキットを使用して、ワシントン、フロリダ、ペンシルベニア、バージニア、テキサス、オハイオ、イリノイ、カンザスなどの米国各州で有料道路詐欺を実行しています。数千ものタイポスクワットされたドメインがこれらの詐欺に使用されており、2025年を通じて活動が継続していることが示されています。
Netcraftは、Wang Duo YuがLighthouseを商業用フィッシングキットとして販売しており、サブスクリプション価格は週88ドルから年間1,588ドルに及ぶと報告しています。このプラットフォームは、ログイン認証情報と二要素認証(2FA)コードの両方を盗むことができるカスタマイズ可能なテンプレートをサポートしていました。以前は「Smishing Triad」という名前で活動していましたが、2025年3月にLighthouseにリブランドしたと報じられています。また、Lighthouseは、他の中国系脅威アクターが運営するDarculaやLucidなどのPhaaSプラットフォームと類似したキャンペーンを展開しており、Lucidと同じ「LOAFING OUT LOUD」偽ショップテンプレートを使用していることから、両グループ間の関連性が示唆されています。
Googleの対策と政策支援
Googleは、消費者を詐欺や海外を拠点とするサイバー犯罪から保護することを目的としたいくつかの米国政策イニシアチブへの支持を表明しました。
- GUARD Act(Guarding Unprotected Aging Retirees from Deception Act):退職者を狙った詐欺を捜査する州および地方の法執行機関の権限を強化します。
- Foreign Robocall Elimination Act:海外発の違法なロボコールをブロックするためのタスクフォースを設立します。
- SCAM Act(Scam Compound Accountability and Mobilization Act):詐欺組織に対抗するための国家戦略を確立し、運営者に制裁を課します。
Googleはまた、詐欺メッセージを検出するためのAIの使用を拡大し、Google Messagesに新たな保護機能を追加し、リカバリー連絡先を通じたアカウント復旧を改善すると述べています。同社は、ユーザーがこれらの種類の詐欺を認識できるよう、公衆教育とパートナーシップの取り組みを継続していくとしています。