Googleは、世界中のサイバー犯罪者が米国郵政公社(USPS)やE-ZPass料金システムになりすますSMSフィッシング(「スミッシング」)攻撃でクレジットカード情報を盗むために使用しているフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Lighthouse」を解体するための訴訟を起こした。
この訴訟は、ライトハウスのフィッシング・アズ・ア・サービス(PhaaS)をサポートするウェブサイトのインフラを停止することを目的としており、グーグルによると、このフィッシング・アズ・ア・サービスは120カ国で100万人以上の被害者を出しているという。この種の詐欺を利用して、2023年7月から2024年10月までの間に、米国だけで最大1億1500万枚の決済カードが盗まれたと推定されている。
グーグルの訴訟では、Lighthouseプラットフォームに対して、不正影響・腐敗組織法、ランハム法、コンピューター詐欺・乱用法などの連邦暴利行為および詐欺法に基づく請求が提起されている。
Lighthouse PhaaSが料金詐欺や配送詐欺に使われる
グーグルによると、ライトハウスはフィッシング・テンプレートとインフラを他のサイバー犯罪者に提供し、USPSのような有名なサービスやEZPassのような有料道路料金支払いシステムを装ったテキストメッセージを送信できるようにしている。
USPSやEZPassのような有料道路料金支払いシステムを名乗るメールを送ることができる。
ソースは こちら:
このようなフィッシング・サイトのリンクは、有料道路当局になりすまし、訪問者が未精算の有料道路料金を支払っていると主張するサイトを指している。しかし、これらのサイトの主な目的は、さらなる金銭詐欺に使用するための個人情報やクレジットカード番号を盗むことです。
ソースは こちら:
グーグルによると、少なくとも107のフィッシング・ウェブサイトのテンプレートが、サイトの評判を高めるために独自のブランド名を使用していることが判明した。
「Googleやその他のブランドの評判を悪用し、Googleの商標やサービスを不正なウェブサイトに表示させています。
“我々は、人々が合法的なサイトであると信じるように特別に設計されたサインイン画面にGoogleのブランドをフィーチャーし、少なくとも107のウェブサイトテンプレートを発見した “とGoogleは説明している。
Cisco Talosの研究者は以前、Lighthouseと「Wang Duo Yu」として知られる中国の脅威アクターが開発したフィッシングキットを関連付けており、彼はLighthouseのフィッシングキットを販売・サポートするためにTelegramチャンネルを運営している。
ソースはこちら:シスコ・タロス
このフィッシング・プラットフォームは、iMessage(iOS)やRCS(Android)を介してテキストメッセージを送信することを可能にし、スパムフィルターを回避する可能性があります。
Talosの報告によると、2024年10月以降、複数の脅威者がWang Duo Yuのキットを使用して米国全土で有料道路詐欺を実行し、ワシントン州、フロリダ州、ペンシルバニア州、バージニア州、テキサス州、オハイオ州、イリノイ州、カンザス州などのユーザーに偽のE-ZPass請求アラートを送信しました。
Talosは、これらの詐欺で使用された数千のタイポスクワットドメインを観測しており、この活動が2025年まで続いていたことを示している。
Netcraftはまた、Wang Duo YuがLighthouseを商用フィッシング・キットとして販売し、サブスクリプションの価格は週88ドルから年間1,588ドルであったと報告している。
このプラットフォームはカスタマイズ可能なテンプレートに対応しており、ログイン認証情報と二要素認証(2FA)コードの両方を盗むことができた。
Brian Krebsによって最初に報告されたように、このグループは2025年3月にLighthouseとして再ブランド化する前に、以前は「Smishing Triad」という名前で活動していた。
同様のキャンペーンは、Darculaや Lucidなど、フィッシング・アズ・ア・サービス・プラットフォームを運営する他の中国の脅威行為者によって行われている。
しかし、Netcraftによると、LighthouseはLucidと同じ’LOAFING OUT LOUD’偽ショップテンプレートを使用しており、両グループに関連がある可能性を示している。
グーグル、米国の新政策をサポート
グーグルも本日、詐欺や海外を拠点とするサイバー犯罪から消費者を保護することを目的とした米国の複数の政策イニシアチブを支持することを発表した:
- GUARD(Guarding Unprotected Aging Retirees from Deception)法:退職者を狙った詐欺を捜査する権限を州や地域の法執行機関に与える。
- 外国からのロボコール排除法(Foreign Robocall Elimination Act): 海外から発信される違法なロボコールを阻止するタスクフォースを創設する。
- Scam Compound Accountability and Mobilization (SCAM)法: 詐欺コンパウンドに対抗する国家戦略を確立し、運営者に制裁を課す。
グーグルは、詐欺メッセージを検出するためのAIの利用を拡大し、グーグルメッセージに新たな保護を追加し、リカバリーコンタクトを通じてアカウント回復を改善すると述べている。
同社はまた、ユーザーがこの種の詐欺を認識できるよう、一般向けの教育やパートナーシップの取り組みも継続するとしている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2026年CISO予算ベンチマーク
予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。
トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。
Comments