米Googleは6月12日(現地時間)、「Outsider Enterprise」と呼ばれる中国拠点のサイバー攻撃組織に対し、ニューヨーク連邦南部地区裁判所に仮処分申請を提起したと発表した。同組織がGoogleのAI「Gemini」を悪用してフィッシングサイトを大量生成し、米国を中心に多数の被害者から金融情報を詐取したとしている。GoogleがGeminiの不正利用を理由に提訴するのは今回が初めてだ。
「Outsider」アプリが攻撃の基盤
この組織は、プログラミングの知識を持たない者でも数分でフィッシングサイトを構築できる「Outsider」と呼ばれるアプリを中心に展開されていた。このアプリは週額88ドルまたは月額200ドル(いずれも暗号通貨USDTで支払い)のサブスクリプション制で販売され、2025年8月から2026年3月の間に250件超のライセンスが販売されたという。
290種類以上のテンプレートと高度な機能
ソフトウェアにはGoogle、YouTube、Google Pay、米郵便公社(USPS)、ニューヨーク州の有料道路決済「E-ZPass」など信頼性の高いブランドを模した290種類超のテンプレートが用意されており、リアルタイムのキーロギング機能や攻撃成果を追跡するダッシュボードまで備えていた。
4グループ体制とTelegram連絡
組織は開発担当、ターゲットリスト提供担当、スパム配信グループ、個人情報の現金化担当の4グループで構成され、Telegramの複数チャンネルを通じて連絡していた。
Geminiの悪用方法
GeminiはフィッシングサイトのHTMLコードを生成するために悪用された。訴状によると、組織は2025年8月2日にTelegramへ投稿したチュートリアル動画で、GeminiにHTMLコードを生成させ、それを「カスタムテンプレート」エディターに貼り付けることで、プログラミング不要でフィッシングページを完成させる手順を解説していた。動画にはGeminiへのプロンプト例として「ギフト引き換えページを生成してほしい」と入力する場面が収められている。
また、既存のテンプレートコードをGeminiに貼り付けてレイアウト変更や入力フィールドの追加を指示する使い方も紹介されており、これにより生成できる偽サイトの種類は実質的に無限大になるとGoogleは指摘している。さらに組織は、詐取したデータのバックアップにGoogleドライブを、偽サイトのホスティングにGoogle Cloudを利用していた。Googleドライブの悪用については、Googleが検知して該当アカウントをブロック済みだ。
被害規模は膨大
被害の規模は膨大だ。159万件以上のURLが同組織と紐づくとして検出され、ピーク時には1日に6万2993件の新規フィッシングページが確認されている。5月18日~6月1日の2週間だけでも250万件のフィッシングテキストがAndroidユーザーに送信され、同期間にGoogleの「メッセージ」アプリへのスパム報告は5万5000件を超えた。訴状では10万人以上が被害に遭ったと記載されており、複数の米メディアによると、米連邦捜査局(FBI)はクレジットカード番号の詐取件数を387万件、2023年7月以降の損失総額を約19億ドル(約2800億円)と推定しているという。
Googleの対応と今後の対策
Googleはこの訴状と並行し、FBI、AT&T、T-Mobile、Verizonと連絡してフィッシングテキストのブロックと法執行措置を進めるとしている。また、Outsider関連サイトをSafe Browsingのカタログに登録したことで、Chromeユーザーによるアクセスが減少したと説明。Androidのスパム検知機能や、Gmailなどで月間100万件超の悪意あるメッセージを遮断するセキュリティ機能も継続して運用する。また、こうしたAIを悪用した詐欺への対応を制度面で強化するため、超党派7法案の成立に向けてロビー活動も展開している。
