スミッシングトライアドが示した「産業化したスミッシング」—2024年以降19.4万悪性ドメイン、金融口座乗っ取りが主戦場です

今日の深掘りポイント

• 2024年1月以降に観測された悪性ドメインは19.4万超。これはSMSフィッシングの供給網が完全に産業化しているシグナルです。
• 悪用ドメインの約68%が香港系レジストラ登録という地理的偏りが判明。検知とブロックのチューニング指標になり得ます。
• 荷物誤配・通行料違反の疑似アラートから、証券ブローカー口座のリアルタイム乗っ取りへと収益化が高度化しています。
• 攻撃は米国系クラウドでのホスティング分散を伴う「分散・即応型」基盤。従来のドメイン単位ブロックだけでは追いつきません。
• ATT&CKでみると、Acquire Infrastructure→Spearphishing Link（SMS）→Valid Accounts→Exfil/Abuseの直線的キルチェーンが主軸です。MFA迂回はセッション詐取の仮説を要検討です。
• 日本のCISO/SOCは「SMS対策は通信キャリア任せ」という発想を改め、MDM/MTD、モバイル用ブランド保護、証券・金融向けのトランザクションモニタリングを一体化する必要があります。

はじめに

Palo Alto Networks Unit 42の調査を報じる記事によると、中国に関連するサイバー犯罪グループ「スミッシングトライアド」が、2024年1月1日以降に少なくとも194,000件の悪性ドメインを運用し、偽の通行料違反や荷物誤配送通知を起点に、ユーザーの認証情報・資産を詐取している実態が明らかになりました。過去3年間の不正利益は10億ドル超に達するとされ、直近はブローカー口座の乗っ取りを狙うケースが顕著に増えています。報道では、攻撃基盤は米国のクラウド上でホスティングされ、登録レジストラは香港偏重という特徴が指摘されています。

出典（報道）:

• The Hacker News: Smishing Triad Linked to 194,000 Malicious Domains (2025/10/25)

本稿は上記報道に基づくもので、一次調査レポートの直接確認が困難な項目については仮説と明示して考察します。

深掘り詳細

事実関係（報道から読み取れる確度の高いポイント）

• 規模と収益性
  • 2024年1月以降の悪性ドメインは19.4万件超です。短期に大量のドメインを調達・使い捨てる「ドメインファーム」的運用を示唆します。
  • 過去3年間の不正利益は10億ドル以上です。スミッシングがもはや小規模詐欺ではなく、複数サプライヤとアフィリエイトが関与するスキームであることを示します。
• インフラ特性
  • 登録レジストラの約68.06%が香港に偏在です。ドメイン登録の地理的クラスターは、登録直後ドメイン（DGAsではないバルク登録）を用いた「高速回転」運用と相関しがちです。
  • ホスティングは主に米国のクラウドサービスで分散です。可用性と撤去耐性を両立し、ブロックリスト更新のレーテンシに勝つ狙いです。
• 誘導と標的
  • 誘導メッセージは通行料違反・配送誤り・政府通知を装うものが中心です。緊急性を演出し、モバイルでの即時行動（リンクタップ）を促します。
  • ブローカー口座狙いが増加し、投資口座のリアルタイム乗っ取り（取引・資金移動）による高単価収益化にシフトしています。

出典（いずれも報道経由）:

• The Hacker News（前掲）

インサイト（編集部の視点と仮説）

• ドメイン偏在の示す運用最適化
  • 香港系レジストラ偏重は、価格・審査フリクション・廃止/解約対応の緩さといった運用パラメータが最適化された結果とみるべきです。検知面では「登録直後（age <7–14日）×香港レジストラ×モバイルUA流入」という三点セットでリスクスコアを高める実装が有効です。
• 米国クラウド分散の実利
  • 信頼度の高いASNとCDN/クラウドを活用することで、単純なASNブロックやジオブロックを回避し、モバイル回線からの到達性と速度を両立します。TLS証明書は無料CAの自動発行・短更新を仮説としますが、SNI/JA3/サーバ証明書発行パターンからのピボットは今も有効です（仮説）。
• ブローカー口座の「時間との戦い」
  • 証券・暗号資産・FXなどは、一度セッションを得れば短時間で高額アクションが完了します。ワンタイムコードのリアルタイム中継（リバースプロキシ系フィッシングキット）やセッションハイジャックの採用が増えている可能性が高く、MFAの存在だけでは防げない層に入ってきています（仮説）。
• サプライチェーン化の進展
  • ドメイン調達、SMS配信（ゲートウェイ/アグリゲータ）、フィッシングキット、資金洗浄までの「分業」を前提に、各コンポーネントの交換可能性を高める設計です。結果としてテイクダウンの摩擦が分散し、対応側は「点の削除」から「面の抑止」へ転換が必要です。

脅威シナリオと影響

以下はMITRE ATT&CKを参照しつつ、観測事実と仮説を組み合わせたシナリオです。仮説は明示します。

• シナリオ1：配送通知を装った認証情報詐取 → 証券口座の即時悪用（仮説を含む）
  • Stage 0（準備）:
    • Acquire Infrastructure: Domains（T1583.001）、Web Services（T1583.006）
    • Obtain Capabilities: Phishing Kit（T1588.004）
  • Initial Access:
    • Phishing: Spearphishing Link via SMS（T1566.002）
  • Collection/Credential Access:
    • Web Portal via Reverse Proxyでのセッション/OTP中継（T1557.003 Adversary-in-the-Middle 相当の振る舞い、仮説）
  • Lateral/Privilege:
    • Valid Accounts（T1078）による正規ログイン
  • Exfiltration/Command:
    • Exfiltration Over Web Service（T1567.002）
  • Impact:
    • 不正トレード・資金移動（ATT&CK上は明確な金銭移動テクニックは定義外だが、Business Impactとして金銭的損失）
• シナリオ2：通行料/政府通知を装った個人情報収集 → なりすまし口座開設・与信詐取
  • Reconnaissance:
    • Phishing for Information（T1598）で氏名・住所・生年月日・カード情報
  • Resource Development:
    • Compromise Accounts（T1586）でSMS送信元の多重化（仮説）
  • Impact:
    • クレカ不正、与信被害、IDベース攻撃の踏み台化
• シナリオ3（企業影響）：BYOD経由のSSOフィッシング → クラウド業務アプリの乗っ取り（仮説）
  • Initial Access:
    • Spearphishing Link via SMS（T1566.002）
  • Credential Access / Defense Evasion:
    • Web Session Cookieの窃取（T1539/ブラウザセッションハイジャック相当の手口、仮説）
  • Impact:
    • Data Exfiltration（T1041）、二次的BEC/仕入先不正送金

定量メトリクスの示唆（提供スコアを編集部で解釈）

• probability: 8.50
  • かなりの高確率で複数業種・地域に波及することを意味します。SMSチャネルの普遍性を踏まえると、BYOD主体の日本企業でも無関係でいられない前提で備えるべきです。
• credibility: 9.00
  • 高信頼ソース（Unit 42報道）に基づくと解釈できます。緊急対処だけでなく恒常的なコントロール改善に踏み切る根拠として十分です。
• scale: 8.00 / magnitude: 7.00
  • ドメイン母数と被害見積から、広がり（scale）も単件インパクト（magnitude）も高水準です。ブロッキングをドメイン単位からコントロール面（ブランド送信者ID、MTD、トランザクション防御）に拡張すべきです。
• immediacy: 7.00
  • 現行進行形の脅威で、四半期内の対策実装を「デッドライン」と設定すべきです。
• actionability: 7.50
  • 具体策に落ちる成熟度が高いことを示します。下記アクションの優先度設定に活用ください。
• novelty: 6.50 / positivity: 3.00
  • 新規性は中程度。既知手口の拡大再生産で防御は後手に回りやすく、短期のポジティブ要素は少なめです。

セキュリティ担当者のアクション

短期（0–30日）・中期（30–90日）・構造対策（90日以降）で分けます。

• 短期（0–30日）

  • モバイル前提の意識付け
    • 全社アラート：通行料/配送/政府通知型SMSのリスク喚起と「公式アプリから確認、SMS内リンクは踏まない」を徹底します。
    • 管理職・経理・トレーディング担当に向けたスポット訓練を即時実施します。
  • 技術的ガードレール
    • MDM/MTDでのURL保護を有効化し、モバイル端末からの未知短命ドメイン（登録後14日以内など）へのアクセスを警告またはブロックします。
    • SSO/アイデンティティ基盤でのリスクベース認証を強化し、モバイル経由で初見ASNs・新端末・新ロケーションからのアクセスにステップアップ（FIDO2/プッシュMFA＋トランザクションサイン）を要求します。
    • 金融・証券アプリ/ポータルはセッション継続性を短縮し、デバイスバインディング＋トランザクション署名（取引固有データのユーザー側確認）を導入します（可能な範囲）。
  • スレットインテリジェンス運用
    • ドメイン年齢・レジストラ地域（香港）・NSのAS/組み合わせに基づくスコアリングルールを暫定導入します。誤検知回避のためブロックではなく高優先度監視から開始します。

• 中期（30–90日）

  • 送信者ID・ブランド保護
    • キャリア/アグリゲータと連携し、アルファベット送信者IDのブランド登録・検証（国際的なSenderID/10DLC相当の枠組み）を推進し、なりすまし許容度を下げます。
    • 公式短縮URL・ディープリンクのドメインを限定し、Publicに明示します。ユーザー教育素材にも反映します。
  • ブローカー/金融向け対策
    • 口座乗っ取り検知のルールを拡張（新端末＋高額・高ボラティリティ銘柄の即時売買、銀行口座追加直後の出金など）し、リアルタイム保留と本人確認の運用を組み込みます。
    • ユーザー側に「既存端末以外からの取引は要トランザクションサイン」を強制する設定を段階的に適用します。
  • 監視とハンティング
    • TLSフィンガープリント（JA3/JA3S）、証明書のSANパターン、LPパス構造の共通性から、短命ドメイン群をクラスタリングするハンティングを走らせます（仮説に基づくピボット）。

• 構造対策（90日以降）

  • モバイル特化のセキュアブラウジング
    • 企業配布ブラウザ（iOS/Android）での安全モード（ダウンロード制限・フォームオートフィル無効・IDNホモグリフ警告）を標準化します。
  • レジストラ・クラウド事業者連携
    • 香港系レジストラ/主要クラウドへのテイクダウン要請プロセスを定型化します。自社ブランドの悪用検知から自動でエビデンスを生成し提出できる仕組みを準備します。
  • KPI/メトリクスの継続評価
    • モバイル由来フィッシングのClick-to-Report率、登録7日以内ドメインへのブロック/警告件数、トランザクション保留→正当化率などを四半期ごとにレビューし、誤検知を下げつつ防御力を向上させます。

最後に、SMSは電子メールよりもUIが単純で、リンク先の正当性を見極める負荷がユーザー側に偏りやすいチャネルです。人に依存しすぎない「踏んでも安全側に倒れる」ガードレール設計こそが、19.4万ドメイン級の供給網に対抗する近道です。

参考情報

• The Hacker News: Smishing Triad Linked to 194,000 Malicious Domains