Google、中国系フィッシング組織を提訴 月200ドルで利用できた「Outsider」の実態

詐欺師のために、詐欺師が作ったサブスクリプションサービス……。
Googleが、こうした大規模なフィッシング詐欺ネットワークを運営していたとして、中国拠点とされる組織「Outsider Enterprise」を相手取り6月12日、米ニューヨーク南部地区連邦地裁に提訴しました。
問題となっているのは「Outsider」と呼ばれる“フィッシング詐欺用ソフトウェア”です。
Googleの訴状からは、これは単なる偽サイト作成ツールではなく、標的リストの調達からSMS送信、盗んだ情報の売買までを支援する、いわば「フィッシング詐欺の総合サービス」として機能していたようすがうかがえます。
■ 月額200ドルで利用できた“フィッシング詐欺の総合サービス”
文書共有サービス「DocumentCloud」に公開されている訴状によると、「Outsider」の利用料は週88ドル(日本円で約1万4000円)、月200ドル(日本円で約3万2000円)。※日本円換算は記事執筆時点の参考値。
一般的なフィッシングキット(詐欺ツール)の相場は明らかではありませんが、少なくともOutsiderは個人でも手を出しやすい価格帯で提供されていたことになります。
もっとも、機能面はかなり本格的です。サイバー犯罪者の間で利用されている他のフィッシングキットと同様に、通信会社や配送業者、ECサイト、政府機関などになりすますテンプレートを290種類以上用意していたとのこと。
さらに、単なるツール提供にとどまらず、役割分担された大規模な犯罪ネットワークとして運営されていたようすも訴状からは見て取れます。
主に「ソフトウェアを開発するグループ」「標的となる電話番号リストを集めるグループ」「SMSやRCSを大量送信するグループ」「盗んだ情報を売買したり資金洗浄したりするグループ」に分かれ、連携して活動していたというのです。
嫌な意味で、至れり尽くせりのサービスだと言えます。
■ Googleのサービスまで“道具”に
Googleが特に警戒しているのが、「Googleドライブ」や生成AI「Gemini」の悪用です。
Outsiderには、盗み出した個人情報や金融情報をGoogleドライブへバックアップする機能が組み込まれていました。なおGoogleは、この機能を支えていたEnterprise側のアカウントを特定し、すでにブロックしたと説明しています。
また組織はTelegram上で公開していたチュートリアル動画の中で、Geminiを使ってWebページのコードを作成・改変する方法を紹介していたそうです。
ただしGoogleは、Geminiそのものがフィッシングサイトを作ったと主張しているわけではありません。犯罪者は一見すると普通のWeb制作依頼に見える指示をGeminiに出し、生成されたコードをOutsiderに貼り付けることで、偽サイト作成に利用していたとしています。
■ 送信前の情報まで盗み見
さらに厄介なのが、被害者の入力内容をリアルタイムで盗み見る機能です。
Googleによると、このソフトウェアは被害者のキー入力を追跡し、被害者が送信ボタンを押す前の段階でも、カード番号や氏名、住所などの情報を取得できたといいます。
SMSなどで送られてくる認証コードをだまし取る仕組みも用意されていました。
被害者が偽サイトにカード情報やログイン情報を入力すると、犯罪者はその情報を使って本物のサービス側でログインや決済手段の登録を試みます。すると本物のサービスから、被害者の端末へ認証コードが送信。
偽サイトはそのタイミングでコードの入力を求め、被害者が入力したコードを犯罪者が受け取ることで、不正ログインや決済手段の登録を完了できる仕組みだったといいます。
■ 毎日数千件規模で新サイトを開設か
被害規模も小さくありません。訴状によると、Googleは2025年11月14日から2026年4月14日までのわずか5か月間で、Outsider Enterpriseに関連するURLを159万件以上確認したとしています。
同時に、Outsider Enterpriseが毎日数千件規模で新たなサイトを立ち上げているとも指摘。この膨大なURL数は、同組織の規模と活動量の大きさを示すものだとしています。
また、このソフトウェアの以前のバージョンは、95か国で少なくとも3万6000枚の決済カードの窃取に関与していたとのことです。
■ いま急増する“通信会社を装うフィッシング詐欺”
現在特に広がっているとされるのが、通信会社を装うフィッシング詐欺とのこと。この手口では、「ポイントが失効する」「高額商品と交換できる」といったSMSを送り付け、利用者を偽のポイント交換サイトへ誘導。
そこで「送料だけ支払えば受け取れる」などと思わせ、クレジットカード情報や配送先情報を入力させるのが手口だとしています。
一見するとお得なキャンペーンに見えても、その先に待っているのは個人情報の窃取というわけです。
■ 運営者の特定はこれから
Googleは今回、被告を「Does 1-25(身元不明の被告1〜25)」として提訴しており、運営者の実名は現時点で特定されていません。
一方で訴状では、Outsider Enterpriseに関与したとする複数のTelegramアカウント名を列挙。Googleはこれらのアカウントが、Outsiderの運営やフィッシング活動に関わっていたと主張しています。
Googleは今回の訴訟で、米国の組織犯罪対策法であるRICO法や、商標保護などを定めるランハム法に基づき、差し止めや損害賠償を求めています。
また公式ブログで6月12日に行った発表の中で、FBIとも連携していると説明。
被告の実名が現時点で特定されていないこともあり、今後の手続きや捜査によって、運営実態の解明がどこまで進むかも注目されます。
<参考・引用>
Google公式ブログ「How we’re combatting AI scams with security, legislation and more」
訴状「Google v. Outsider Enterprise Complaint」
(宮崎美和子)
Publisher By おたくま経済新聞 | Edited By 宮崎美和子 | 記事元URL https://otakuma.net/archives/2026061506.html