SMSフィッシングスパムの急増は中国で人気のフィッシングキットの新機能の影響か

アメリカでは有料道路の電子料金徴収システムである「E-ZPass」などを装ったフィッシングメッセージが流行しているそうです。フィッシングメッセージには「E-ZPassの通行料金を滞納すると、罰金が科せられる」という警告内容が記されており、これに騙されたユーザーが振り込む必要のない金銭を授受してしまうというわけ。このようなフィッシングスパムが急増している理由は、中国で販売されている人気の商用フィッシングキットに新機能が追加されたからであると、セキュリティブログのKrebs on Securityが指摘しています。

Chinese Innovations Spawn Wave of Toll Phishing Via SMS – Krebs on Security
https://krebsonsecurity.com/2025/01/chinese-innovations-spawn-wave-of-toll-phishing-via-sms/

2025年1月の第2週、マサチューセッツ州運輸局(MassDOT)が、MassDOTの電子料金徴収プログラムである「EZDriveMA」のユーザーを狙った新たなSMSフィッシングに注意するようユーザーに警告しました。このフィッシングでは、クレジットカードのデータを入力するよう求められ、最終的にSMSまたはモバイル認証アプリ経由で送信されるワンタイムパスワードの提供を求められるそうです。

MassDOTがSMSフィッシング(スミッシング)の存在に関する警告を発したのとほぼ同時期に、アメリカの他の州営有料道路の利用者をターゲットとしたスミッシングが、複数報告されるようになりました。例えば、フロリダ州では同州にある有料道路プログラム「Sunpass」を装ったフィッシングメッセージが報告されています。

テキサス州では「北テキサス通行料局に未払いの通行料がある」というスミッシングが流行しており、他にもカリフォルニア州、コロラド州、コネチカット州、ミネソタ州、ワシントン州からも同様のフィッシングメッセージを受け取ったという報告がKrebs on Securityには集まっているそうです。

以下のスクリーンショットはカリフォルニア州オレンジ郡にある有料道路「The Toll Roads」の利用者向けに作成されたフィッシングサイト。

セキュリティ企業CSIS Security Group傘下のSecAllianceでセキュリティアナリストを務めるフォード・メリル氏によると、有料道路事業者を装ったフィッシングメッセージの量は、洗練されたスミッシングキットの販売で知られる中国のサイバー犯罪グループが、少なくともひとつのアメリカ有料道路事業者を装ったフィッシングページを提供し始めてから急増したと報告しています。

メリル氏は中国のサイバー犯罪グループについて、数百から数千の顧客を抱えており、異なるスミッシングキットを販売していると指摘。これらのスミッシングキットは被害者から十分な情報を盗み出し、クレジットカードをモバイルウォレットに追加してオンラインショッピングで利用したり、マネーロンダリングに使用したりするそうです。

問題のスミッシングキットのひとつが商用フィッシングキットの「Lighthouse」です。Lighthouseは2025年1月10日に新機能を追加しており、このタイミングでアメリカでフィッシングメッセージが急増し始めたそうです。Lighthouseの新機能は、特定のウェブサイトを忠実に模倣するというもので、注目すべきは「ウェブサイトは訪問者がモバイルデバイスからアクセスしていることを検出しない限り、フィッシングページを読み込まない」という点だとKrebs on Securityは解説しています。

スミッシングキット自体は決して目新しいものではありませんが、メリル氏によると中国のスミッシンググループはスパムメッセージをAppleのiMessageやAndroidのRCSとよりシームレスに統合するに成功しており、これにより配信性に革新をもたらしているそうです。メリル氏は「従来のスミッシングキットはメッセージの配信にSMSを多用していましたが、最近では『通信事業者がフィルタリングできない』『成功率が高い』という理由で、iMessageやRCSを多用しています」と指摘しました。

スミッシングにおいて攻撃者はどのようにして標的を選定しているかは不明ですが、MassDOTは「ターゲットの電話番号はランダムに選ばれたようで、アカウントや有料道路の使用と一意に関連付けられているわけではないようです」と警告しています。実際、Krebs on Securityユーザーのひとりは「自動車を所有していないのにスミッシングを受けた」と報告したそうです。

Krebs on Securityはスミッシングを受信した場合、メッセージを無視するか削除することを推奨しており、フィッシングサイトにアクセスしないよう警告しています。また、連邦捜査局(FBI)はメッセージを削除する前にインターネット犯罪苦情センター(IC3)に苦情を申し立てることを推奨しています。