懸念はパスワードからパンダへ
セキュリティ研究チームであるResecurity(リセキュリティ)の最新報告によれば、SMSフィッシングの脅威がいかに危険であるかが改めて示されている。リセキュリティは少なくとも2023年から活動している「Smishing Triad(スミッシング・トライアド)」という犯罪組織を追跡してきたが、このグループは中国のサイバー犯罪者集団であり、世界的な規模での犯行を企てているという。Smishing Triadは近年一般的になった「Crime-as-a-Service(犯罪をサービスとして提供する)」モデルを採用し、複数の関連組織が協力して世界中の被害者を狙っている。
リセキュリティによると、中国に拠点を置くひとりの脅威アクターでさえ、1日に最大200万件のフィッシングSMSを配信できる可能性があるという。Smishing Triad全体では「月に6000万件、年間では7億2000万件の攻撃が可能で、アメリカの全人口を年に2回ずつ狙える規模だ」と報告されている。ポール・ウォルシュが懸念を示しているように、Smishing Triadは通信事業者のSMSゲートウェイだけでなく、アップルのiMessage、RCS(リッチコミュニケーションサービス)を利用可能なグーグルのGoogle メッセージも活用してフィッシングを拡散している。
では、ここからどのように「パンダ」の話が出てくるのか。リセキュリティは3月、新たに「Panda Shop(パンダショップ)」というスミッシングキット(訳注:スミッシングは、SMSメッセージを悪用したフィッシングを指す)を確認したが、これはSmishing Triadのサービスと同様の手口を用いているとみられる。リセキュリティの報告によれば、Panda Shopキットは複数のテレグラム(Telegram)チャンネルやインタラクティブボットを使い、アップルのiMessageやAndroidのGoogle メッセージを通じて自動的にサービスを提供しているという。さらに、脅威アクターは大量の不正取得済みGmailアカウントやアップルアカウントを購入し、フィッシングメッセージの配信を支援しているとみられる。
「Smishing Triadと同様に、Panda Shopも任意のサーバーに展開可能なカスタマイズ済みのスミッシングキットを提供している」とリセキュリティは報告している。同社の調査チームは、このPanda Shopというグループ自体が、Smishing Triadの元メンバーを一部含んでおり、「公に非難されたあと、新たなブランド名へ移行した可能性が高い」と結論づけている。実際、Panda Shopのフィッシングキット構造やスクリプトの動作パターンは、以前のキットと酷似しており、特定の改良や新しいテンプレートを追加している点を除けばほぼ同じだという。
リセキュリティによれば、Smishing TriadやPanda Shopなどの中国の脅威アクターが行うスミッシング攻撃の規模は非常に大きい。「スミッシングによる犯罪は、従来のカード詐欺やNFCの悪用などから資金洗浄チェーンにまで及び、盗んだ資金を処理できるようにしている」と同社は指摘する。標的となるのはパスワードだけではなく、その先にあるあらゆるデータや他のサービスへのアクセス権も危険にさらされるのだ。「リセキュリティが世界中の金融機関と関わった経験に基くと、こうした活動による損失は年間で数百万ドル(数億円)規模に達している」と報告は結んでいる。
