陳 悦庭

陳 悦庭

フィッシングの裏側:テレグラム地下市場の「信頼」と「サービス」

はじめに

フィッシングは、攻撃者が偽のログイン画面などを巧妙に作成し、ユーザーのIDやパスワード、クレジットカードの情報など、重要な個人情報を不正に取得する行為です。去年末から、日本国内では証券関連を中心としたフィッシング被害が発生しており、証券会社や警察がその対応に追われています。

こうした攻撃の背後には、中国語を主な言語とする集団や個人が関与していることが明らかになっています。彼らは日本国内だけでなく、世界中を標的にフィッシングを行い、特にクレジットカード情報など、金銭的価値の高いデータの収集と換金を目的としています。このようなアクターの目的や手法を把握することは、防御側が効果的な対策を取るうえで非常に重要です。

この記事では、フィッシング詐欺の裏側にある仕組みや市場動向を深掘りします。具体的には、テレグラム上で広がるフィッシングマーケットの実態、攻撃を支えるサプライチェーンの構造、そして中国語を主な言語とする集団や個人で利用される担保サービスやフィッシングサービスの特徴について解説します。主に以下の内容について解説します。

  • フィッシングマーケットinテレグラム
  • フィッシングサプライチェーン
  • 中国語圏担保サービスとフィッシングサービス

フィッシングマーケットinテレグラム

中国語を主な言語とするフィッシンググループは、主な連絡手段としてテレグラムを利用しています。テレグラムは2015年以降、中国本土で規制されていますが、VPNなどのツールを使ってサイバー犯罪者たちは依然としてアクセスしています。テレグラムは、エンドツーエンドの暗号化や「シークレットチャット」などの機能により、通信内容の秘匿性が高く、やり取りしたメッセージが一定時間後に自動で消去されるため、証拠が残りにくいのが特徴です。こうしたメリットから、彼らはテレグラムをダークウェブ的なマーケットとしても活用し、情報のやり取りや取引を行っています。

フィッシングサプライチェーン

フィッシング攻撃の現場では、役割ごとに分業が進んでおり、全体で「フィッシングサプライチェーン」と呼ばれる仕組みが形成されています。メール配信から情報の換金まで、各工程に専門の担当者が関わっていることが特徴です。主な役割は以下の通りです。

  • 配信用データの提供者
  • フィッシングメールもしくはメッセージの発信者
  • フィッシングキットの開発者
  • フィッシングサイト管理画面の開発者
  • クレジットカード情報などを換金する担当者

換金担当者と「通道」

この中でも重要なのが「換金担当者」です。フィッシング攻撃の最大の目的は金銭の獲得であり、クレジットカードなどの情報が現金化できなければ、攻撃者にとってその情報は価値を持ちません。そのため、どのサービスやターゲットを選ぶかは「換金のしやすさ」が大きな決め手となります。

「通道(tōngdào)」は中国語の地下市場やサイバー犯罪コミュニティでよく使われるスラングで、直訳すると「通路」「チャンネル」という意味です。犯罪者同士のやり取りや取引を行うための安全な経路や仲介手段を指します。

フィッシングマーケットでは、クレジットカード情報などを現金化するための手段として「通道」が頻繁に利用されます。これは、安全に資金を移動させるためのルートや方法を指します。カード発行会社による不正利用検知を回避するために、特定のオンラインショップや実店舗など、慎重に選ばれた方法が活用されています。

証券関連の現金化、つまり盗んだ証券口座や株式を用いた「株式操作」は、特に高度な専門性が必要な分野です。攻撃者は、市場に目立たない形で株を売買し、不正な利益を獲得するため、複数の証券口座を管理しながら取引を巧妙に分散させます。こうした操作を実行するには、金融市場の仕組みや証券取引のルール、不正取引に対する監視体制などを深く理解している必要があります。さらに、特定の株が監視の目に付きにくいタイミングや取引量を見極める洞察力、証券会社のリスク管理システムをすり抜ける知識・経験も欠かせません。単なる不正アクセスや情報の窃取だけでなく、複雑な資金移動や証券売買を緻密にコントロールできることが求められるため、実行者はごく限られた存在となっています。

2025年の初めに日本の証券会社を標的としたケースでは、中国株を操作して利益を得た後、直接人民元に資金を変換できる点が大きなメリットとなり、多くの攻撃者が参入することで被害の拡大につながりました。

フィッシングの裏側.png

現在もなお、日本の証券会社を標的としたフィッシング関連の活動はテレグラムで続けられており、活動件数は年初より減少したものの、その中心的な拠点としての役割は変わっていません。

Phishing-as-a-Service

中国語を主な言語とするフィッシンググループにおいて、「Phishing-as-a-Service」は「源码」と呼ばれることが多く、これは本来「ソースコード」を指す中国語の言葉ですが、実際にはフィッシング用のキットや管理画面など、攻撃に必要な各種サービス全体を含んでいます。Phishing-as-a-ServicePhaaS)の広がりによって、フィッシング犯罪者はこれまで以上に複雑な攻撃を手軽に実行できるようになっています。

中国語を主な言語とするフィッシンググループは、金銭やクレジットカード情報の現金化を直接的な目的とした活動に特化していることが大きな特徴です。一方で、中国以外の海外フィッシンググループでは、Microsoft O365Gmailなどの認証情報を標的としたBEC(ビジネスメール詐欺)が主流となっています。そのため、地域によって採用する手法やアプローチにも明確な違いが見受けられます。

中国語を主な言語とするPhaaSでは、フィッシングキットや管理画面にとどまらず、サーバーやドメインの設定支援など幅広いサービスを展開しています。これらのサービス内容を以下にまとめます。

  1. サーバーのセットアップ(VPS):VPSは仮想専用サーバー(Virtual Private Server)の略で、1台の物理サーバーを仮想化技術によって複数の独立した仮想サーバーに分割し、それぞれをあたかも専用サーバーのように利用できるサービスです。近年、攻撃者による悪用が増加しています。地理的な制限を回避したり、IPチェックをすり抜けたり、正規の通信に見せかけるための手段として利用されています。
  2. フィッシングサイトの構築:通常、フロントエンド(偽装サイト)とバックエンド(管理画面)がセットで提供されます。多くのPhaaSでは同じブランドのフィッシングサイトの見た目は大きく変わりませんが、管理画面には様々な個性や工夫があります。使いやすさやデザイン性だけでなく、フロントエンドのフィッシングサイトやプロンプトを動的に修正できるなど、実用面でも高い柔軟性を備えたものが増えており、利用者の運用効率を向上させています。
  3. ドメイン登録・SSL証明書発行:これらも利用者が管理画面から直接操作でき、複雑な手順を必要とせず、分かりやすいGUIによる設定が可能となっています。
  4. 利用者支援:フィッシングサーバーの設定を簡単に行えるよう、トレーニングコースが用意されている場合もあります。さらに、手間を省きたい利用者向けに、代理で一括設定を行うサービスも提供されています。攻撃者は管理画面のログイン情報を受け取り、フィッシング用コンテンツをセットし配信するだけで利用できるため、非常に手軽で利便性の高いサービスとなっています。

フィッシングの裏側2.png

フィッシング用の配信システム

フィッシングサイトの配信システムに関しては、PhaaSの標準範囲外となる場合が多いものの、対応可能なサービスが実際は存在します。こうした配信システムは、目的に応じてRCS(リッチコミュニケーションサービス)・IM(インスタントメッセージ)・SMS・メール・偽基地局など複数の経路に分類され、攻撃者は必要に応じて専門業者へ依頼し、フィッシングコンテンツを効果的に配信しています。なお、業者ごとに独自の配信先リストを保有しているため、フィッシングの成果や影響範囲にはばらつきが見られる傾向があります。

PhaaSの運用料金制度

サービスの支払い方法もサブスクリプション型や買い切り型など多岐にわたります。運営者は、利用者のニーズに合わせて機能追加やアップデートを継続的に行い、サービスの質を高めています。提供されているフィッシングキットは主に二つのタイプに分けられます。なお、料金例で用いられる「U」は暗号通貨USDTTether)を指しており、1USDT1米ドル相当の価値があります。

  • 電信魚(一般的なフィッシングキット)は、特定のブランドを標的とし、クレジットカードや認証情報の詐取を目的としたものです。
  • 電商魚(ECサイトを模したフィッシングキット)は、実際のECサイトになりすまし、クレジットカード情報の取得などを目的としています。国や地域ごとに異なる決済手段に対応できるキットもあり、特定ブランドの認証情報を狙うケースも少なくありません。なお、「電商魚」の料金は、利用するバックエンドの種類によって異なります。たとえば、WordPressShopyy(中国語を主な言語とするECサイト構築フレームワーク)など、各ケースに合わせた価格が設定されています。また、WordPressではStripePayPalなどの決済方法に応じて販売するバージョンが変わります。

フィッシングの裏側5.png

同步魚(リアルタイムフィッシング)

「同步魚」とは中国語で「リアルタイムフィッシング」を指し、攻撃者が本物のサイトと偽サイトの間に立って通信を仲介することで、利用者が入力したログイン情報やワンタイムパスワードをその場で取得し、不正ログインを行う手口です。カード会社や証券会社がOTPといった認証対策を強化する中、フィッシングサイト側もそれに合わせて専用の画面を追加し、リアルタイムで情報を抜き取れる仕組みを整えています。

一見すると、この仕組みは高度なテクノロジーによる自動化を想像しがちですが、中国語を主な言語とする集団によるリアルタイムフィッシングの多くは、人間のオペレーターが手動で中継作業を行っています。

フィッシング管理.png

中国語を主な言語とする集団によるリアルタイムフィッシング

多くのPhaaSでは、被害者がフィッシングサイトへアクセスしたり操作を行うと、その情報が即座に管理画面に反映され、音声による通知が作動します。この機能によって、オペレーターは状況をリアルタイムで把握し、迅速に対応を取ることができます。

以下の音声ファイルは、実際にリアルタイムフィッシングの管理画面で使用されている音声と、その用途を示しています。管理画面では被害者の操作が検知された際、オペレーターに対して即座に通知が行われるため、迅速な対応が可能となります。これらの音声は、フィッシングサイトへのアクセスや入力動作、ワンタイムパスワードの送信など、重要な操作ごとに再生され、オペレーターがリアルタイムで状況を把握できるよう設計されています。

フィッシングの裏側4.png

中国語圏の担保サービスとフィッシングサービス 

中国語を主な言語とするダークウェブ市場では、取引を安全かつ円滑に進めるため、売り手と買い手の間に信頼できる第三者が介在する担保システムが利用されています。この仕組みのおかげで、直接的な信頼関係がない場合でも、安心して売買が行えます。これらのサービスは主にUSDTなどの暗号通貨を用いて運用されており、2025年に入ってからは、HuioneTudouXinbiなど国際犯罪と関連する中国語圏の担保サービスに関する暗号通貨リスク分析レポートもいくつか発表されています。詳しくは以下の記事もご覧ください。

https://www.chainalysis.com/blog/huione-group-shutdown-future-of-crypto-scam-infrastructure-japanese/
https://www.chainalysis.com/blog/huione-guarantee-still-active-despite-shutdown-japanese/
https://www.binance.com/en-JP/square/post/26909897463010
https://www.elliptic.co/blog/xinbi-guarantee

担保サービスの基本的な流れは、売り手と買い手の間に第三者が介入し、購入者の資金を一時的に預かることで取引の安全性を高める仕組みです。取引が正常に完了し、購入者が商品やサービスの受領を確認した段階で、担保サービスが売り手へ資金を送金します。なお、多くの場合、担保サービスはこの仲介手数料として売り手から取引金額の数パーセントを受け取ります。

  • 第三者による資金管理:担保サービスが購入者の資金を中立的に保管します。
  • 取引の安全確保:商品やサービスの受領確認後に資金が売り手へ支払われるため、双方にとって公平な取引が実現します。
  • 詐欺リスクの軽減:商品未着や未払いといった詐欺行為を防止し、取引リスクを最小限に抑えることができます。
  • 取引通貨:暗号通貨USDT(Tether)でやり取りされています。1USDTは1米ドルと同等の価値を持っています。

フィッシングの裏側6.png

フィッシング関連担保サービス

また、フィッシング関連の取引でも同様に担保サービスが利用されており、これが取引の安全性を支える重要な役割を果たしています。これらのサービスはしばしば、著名キャラクターや動物などをモチーフにしたテレグラムチャンネルを開設し、ユーザー同士の取引を仲介しています。

フィッシングの裏側11.png

杰尼龟(ゼニカメ)

杰尼龟(ゼニカメ)担保サービスのチャンネルは、二万人を超えるユーザーを抱える最大規模の担保サービスとして知られていました。ポケモンのゼニカメをモチーフにしたこのサービスは、フィッシングのみならずグレーゾーンの業界でも複数の取引に利用されてきました。また、これらの担保サービスは、本体以外にもさまざまな機能を連結することが一般的です。ゼニカメの事例からも、フィッシングやクレジットカード犯罪といった分野で、複数の連携サービスが活用されていることがうかがえます。

フィッシングの裏側7.png

林月同步魚(リアルタイムフィッシングサービス)

ゼニカメの連結サービスの一つには、「林月」という人物がリアルタイムフィッシングの受託業務を主に担当している例が見られます。彼は、PhaaS業者である「Panda Shop」のサービスを利用し、代理販売や代理フィッシングの活動を行っていることも明らかになっています。

フィッシングの裏側8.png

フィッシングの裏 修正9.png

フィッシングの裏側10.png

これら複数の関連チャンネルを総合すると、主に以下のような業務が行われていることが分かります。

  • RCS/IMメッセージを用いたモバイルフィッシングコンテンツの配信
  • PayPal支払いを利用したリアルタイムフィッシング(いわゆる「電商魚」)
  • 海外向けリアルタイムフィッシング(「電信魚」と呼ばれる手法)
  • 日本国内を対象としたリアルタイムフィッシング(同じく「電信魚」)

ゼニカメ消失とその余波

2025522日、「ゼニカメ」は現地警察の摘発を受け、事実関係を認めたうえでアカウントの順次削除を発表しました。この発表を受け、中国語を主な言語とする各保証サービスでは「預かり金の返却」をめぐる混乱が広がりました。ゼニカメの保証金や関連する預かり金の総額は100USDTを超えるとみられています。しかし、返金についての説明や対応は一切ありませんでした。

それに伴い、「林月」も姿を消しました。この出来事をきっかけに、フィッシング関連の業者たちは、それまで利用していたゼニカメの取引管理チャンネルから離れ、それぞれが独自の取引チャンネルを立ち上げて運営するようになりました。

結論として、「ゼニカメ」の摘発と「林月」の消失は、中国語話者によるフィッシングマーケット全体に大きな混乱と分散化をもたらしました。その結果、従来の中央集権的な運営から、各業者が独自の取引チャンネルを構築・運営する時代へと移行しています。これにより、日本を標的とするフィッシング攻撃のアクターの把握はこれまで以上に困難となり、今後は多様なチャンネルやアクターを継続的かつ広範囲に監視する必要があります。

この記事の筆者

陳 悦庭

陳 悦庭

台湾から来た雑食リサーチャ。脆弱性情報分析、脅威インテリジェンス、マルウェア解析、アクター分析などなどを担当。いまの主食はフィッシング動向の分析。
  • アーカイブ

前へ

ブラウザデータを狙うInfostealerと対策技術について