概要:Googleがフィッシングプラットフォーム「Lighthouse」を提訴
Googleは、米国郵政公社(USPS)やE-ZPassなどの料金徴収システムを装ったSMSフィッシング(スミッシング)攻撃でクレジットカード情報を盗むために使用されている「Lighthouse」というフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを解体するため、訴訟を提起しました。この訴訟は、Lighthouseのウェブサイトインフラを閉鎖することを目的としており、Googleによると、このプラットフォームは120カ国で100万人以上の被害者を出しています。2023年7月から2024年10月の間に、米国だけで最大1億1500万枚の支払いカードがこれらの詐欺によって盗まれたと推定されています。
Googleは、連邦の組織犯罪および詐欺に関する法律、具体的には組織的犯罪対策法(RICO法)、ランハム法、コンピュータ詐欺および濫用防止法に基づき、Lighthouseプラットフォームに対して訴訟を起こしています。
Lighthouse PhaaSの仕組みと被害の実態
Googleによると、Lighthouseはサイバー犯罪者にフィッシングテンプレートとインフラを提供し、USPSやE-ZPassのような有名なサービスを装ったテキストメッセージを送信することを可能にしています。これらのスミッシングテキストに含まれるリンクは、未払いの料金があるかのように見せかける偽の料金徴収機関のサイトに誘導します。しかし、これらのサイトの主な目的は、個人情報とクレジットカード番号を盗み、さらなる金融詐欺に利用することです。
Googleは、自社のブランドを悪用してサイトの信頼性を高めるためのフィッシングウェブサイトテンプレートを少なくとも107種類発見しました。Googleは、「彼らは、詐欺的なウェブサイトに当社の商標やサービスを違法に表示することで、Googleや他のブランドの評判を悪用しています」と説明しています。
Cisco Talosの研究者は以前、Lighthouseを「Wang Duo Yu」として知られる中国の脅威アクターが開発したスミッシングキットと関連付けていました。Wang Duo YuはTelegramチャンネルを運営し、Lighthouseフィッシングキットを販売・サポートしています。このプラットフォームは、iMessage(iOS)およびRCS(Android)を介してテキストメッセージを送信できるため、スパムフィルターを回避する可能性があります。Talosは、2024年10月以降、複数の脅威アクターがWang Duo Yuのキットを使用して、ワシントン、フロリダ、ペンシルベニア、バージニア、テキサス、オハイオ、イリノイ、カンザスなどの米国各州で料金所詐欺を行っていることを報告しています。これらの詐欺には数千ものタイポスクワッティングドメインが使用されており、2025年を通じて活動が継続していることを示しています。
Netcraftの報告によると、Wang Duo YuはLighthouseを商用フィッシングキットとして販売しており、購読料は週88ドルから年間1,588ドルに及んでいました。このプラットフォームは、ログイン認証情報と二要素認証(2FA)コードの両方を盗むことができるカスタマイズ可能なテンプレートをサポートしていました。Brian Krebsが最初に報じたように、このグループは以前「Smishing Triad」という名前で活動していましたが、2025年3月にLighthouseにブランド名を変更しました。同様のキャンペーンは、DarculaやLucidなどの他の中国のPhaaSプラットフォームを運営する脅威アクターにも関連付けられています。Netcraftは、LighthouseがLucidと同じ「LOAFING OUT LOUD」という偽のショップテンプレートを使用していることから、両グループ間に何らかの関連性がある可能性を指摘しています。
Googleが米国新政策を支持
Googleはまた、消費者を詐欺や海外を拠点とするサイバー犯罪から保護することを目的としたいくつかの米国政策イニシアチブへの支持を表明しました。
- Guarding Unprotected Aging Retirees from Deception (GUARD) Act:退職者を標的とした詐欺を調査する州および地方の法執行機関に権限を与えます。
- Foreign Robocall Elimination Act:海外発の違法なロボコールをブロックするためのタスクフォースを設立します。
- Scam Compound Accountability and Mobilization (SCAM) Act:詐欺集団に対抗し、運営者に制裁を課すための国家戦略を確立します。
Google自身の対策強化
Googleは、詐欺メッセージを検出するためのAIの利用を拡大し、Googleメッセージに新たな保護機能を追加し、リカバリー連絡先を通じてアカウント復旧を改善していると述べています。同社はまた、ユーザーがこれらの種類の詐欺を認識できるよう、公共教育とパートナーシップの取り組みを継続していくとしています。