17,500 Phishing Domains Target 316 Brands Across 74 Countries in Global PhaaS Surge
2025/09/19 TheHackerNews — Lighthouse および Lucid として知られる Phishing-as-a-Service (PhaaS) への調査の結果として、74 カ国の 316 ブランドを標的とする、17,500 以上のフィッシング・ドメインへの関与が判明している。Netcraft は新たなレポートで、「最近の傾向として、PhaaS の導入が大幅に増加している。PhaaS 事業者が月額料金で提供するフィッシング・ソフトウェアには、世界各国の数百のブランドを偽装するテンプレートがプリ・インストールされている」と指摘している。
今年4月初めにスイスのサイバー・セキュリティ企業 PRODAFT が、Lucid について詳細に説明したのは、Apple の iMessage および Android の Rich Communication Services (RCS) を介した、スミッシング (SMS フィッシング) メッセージ送信能力である。
このサービスは、中国語圏の脅威アクター XinXin グループ (changqixinyun) によるものと推定されるが、同グループは、Lighthouse/Darcula といった他のフィッシング・キットも活用している。Darcula は LARVA-246 (別名 X667788X0 または xxhcvv) により開発され、Lighthouse は LARVA-241 (別名 Lao Wang または Wang Duo Yu) との関連が指摘されている。
Lucid PhaaS プラットフォームは、料金徴収会社/政府機関/郵便会社/金融機関など幅広い業界を標的とする、大規模フィッシング・キャンペーンの展開を可能にしている。これらの攻撃には、特定のモバイル・ユーザー・エージェント/プロキシの国設定/詐欺師が設定したパスなどの多様な判定基準が組み込まれ、選別されたターゲットのみがフィッシング URL にアクセスできるようになっている。したがって、ターゲット以外のユーザーがアクセスした場合には、一般的な偽のストア・フロントが表示される仕組みとなっている。
Netcraft によると、Lucid プラットフォームのフィッシング URL は、63 カ国に拠点を置く 164 ブランドを標的とし、Lighthouse のフィッシング URL は、50 カ国 204 ブランドを標的としている。
Lighthouse は Lucid と同様に、テンプレート・カスタマイズとリアルタイム被害者監視機能を提供し、世界中の 200 以上のプラットフォーム向けフィッシング・テンプレートが作成可能である。これは2つの PhaaS ツールキットの機能には、大きな重複があることが示されており、Lighthouse の価格は週 $88 から年間 $1,588 までとされる。
2025年4月の時点で PRODAFT は、「Lighthouse と XinXin グループは、それぞれが独立して運営されているが、インフラとターゲティング・パターンで Lucid と連携しており、PhaaS エコシステムにおけるコラボレーションとイノベーションの広範なトレンドを示している」と指摘している。
Netcraft の研究者 Harry Everett は「Lucid と Lighthouse は、これらプラットフォームが急速に成長し進化し、破壊が困難であることを示す例である」と述べている。
ロンドン拠点の Netcraft は、フィッシング攻撃が Telegram などの通信チャネルから離れつつあることを明らかにし、もはや Telegram も安全な隠れ家とはみなされなくなっている状況を指摘している。
その一方で、脅威アクターたちは、盗み出した認証情報を収集するチャネルとしてメールに回帰しており、1か月で 25% の増加を Netcraft は確認している。攻撃者は EmailJS などのサービスを悪用することで、被害者からログイン情報や二要素認証 (2FA) コードを収集しており、独自インフラの構築を不要としている。
セキュリティ研究者 Penn McIntosh は、「この復活の一因は、メールの分散型構造にあり、サービス停止が困難になることがある」と述べている。また、Discord や Telegram のような集中型プラットフォームとは異なり、各アドレスや SMTP 中継サーバーは個別に通報する必要がある。さらに、使い捨てメールアドレスは迅速かつ匿名で作成でき、利便性が高く、実質無料である。
この調査では、日本語のひらがな「ん」を用いた新しい類似ドメインの出現も確認されている。これはホモグリフ攻撃と呼ばれ、正規サイトの URL とほぼ同じように偽装する手法である。仮想通貨ユーザーを狙った攻撃で、この手法を用いた偽ドメインが 600 件以上も確認されているが、最古の使用例は 2024年11月25日に遡る。
これらページは、Chrome Web ストア上の正規ブラウザ・エクステンションを偽装し、無防備なユーザーに対して Phantom/Rabby/OKX/Coinbase/MetaMask/Exodus/PancakeSwap/Bitget/Trust などの偽ウォレット・アプリをインストールさせる。これらアプリにより、システム情報やシード・フレーズが収集され、攻撃者はウォレットを完全に制御できるようになる。
Netcraft は、「一見するとスラッシュ (/) のように見える文字がドメイン名に組み込まれると、本物らしく見えることが容易に理解できる。このわずかな置換だけでフィッシング・サイトのドメインが本物に見えるようになり、ログイン情報や個人情報を盗み出し、また、マルウェアを配布するという、脅威アクターの目的を果たすことになる」と述べている。
最近では、Delta Airlines/AMC Theatres/Universal Studios/Epic Records などの米国企業のブランドを悪用する詐欺も発生している。これらの詐欺では、航空券予約の代理店業務などのタスク完了を通じて、被害者は金銭を盗まれる仕組みへと誘導され、少なくとも $100 相当の仮想通貨を口座に入金させられる。Netcraft の研究者 Rob Duncan は、「日和見主義的な攻撃者が、API 駆動型ブランド成りすましテンプレートを用いて、金銭目的の詐欺を複数の業種へ向けて拡大している」と述べている。
PhaaS が悪用される根本原因として、有用なテンプレート/共有インフラ/ターゲティング機能が指摘されています。攻撃者は既製のテンプレートや確認困難なドメイン偽装 (ホモグリフ) を利用し、配布チャネルや認証収集の経路を簡略化しています。Netcraft の3つのレポートを、The Hacker News が1つの記事にまとめてくれています。とても、助かりますね。よろしければ、PhaaS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.