詐欺師にとって、パスワードやクレジットカード番号を盗むこと自体は、もはや難しいことではありません。問題は、それを大規模に実行することでした。Outsider Enterpriseと呼ばれる中国のサイバー犯罪組織は、GoogleのGemini AIを悪用することで、その課題を解決したようです。
GoogleはニューヨークでOutsider Enterpriseを提訴しました。同組織は、技術的なスキルがゼロの犯罪者でも実行可能なほど自動化され、アクセスしやすいフィッシング詐欺のオペレーションを構築したとして告発されています。この事件に関わる被害規模は決して小さくありません。
ゲームをお得に手に入れよう。
最大80%OFFの割引セール実施中
Outsider Enterpriseが構築したもの
これは、少数のハッカーが説得力のある偽メールをいくつか作成するようなレベルの話ではありません。Outsider Enterpriseは、フランチャイズ型の犯罪ソフトウェアビジネスのように運営されていました。同グループは「Outsider」と呼ばれるサブスクリプション型のプラットフォームを作成し、$88 per weekから利用可能な、すぐに使えるフィッシングツールキットを買い手に提供していました。290種類以上の事前構築済みウェブサイトテンプレートが含まれており、それぞれが銀行、携帯電話会社、政府機関、小売業者、そしてGoogle自身といった実在の企業になりすますよう設計されていました。
そのうち少なくとも14のテンプレートは、YouTube、Google Pay、Google Playのロゴなど、Googleのブランドを直接使用していました。同グループは、偽サイトのホスティングにGoogle Cloud infrastructureを、盗んだデータの保存にGoogle Driveを悪用していました。まさに前代未聞の厚顔無恥な手口です。
2026年5月のわずか2週間のうちに、このオペレーションは9,000 fake websites、one million fraudulent web domains、そしてAndroidユーザー宛に2.5 million scam textsを生成しました。2025年11月から2026年4月までの5か月間で、GoogleはOutsider Enterpriseの活動に関連する1.59 million URLs以上を追跡しています。
Geminiがどのように悪用されたのか
重要なのは、AIの関与が単なる偶然ではないという点です。Outsider EnterpriseはGeminiを使用して、手動では到底不可能なスピードとボリュームでフィッシングコンテンツを大量生産していました。同グループはTelegramを通じて連携し、Geminiの出力を複数のプラットフォームにまたがる詐欺キャンペーンに直接組み込むためのヒントやソフトウェアキットを共有・取引していました。
偽サイトは非常に巧妙で、SMSコード、PIN、メール認証、アプリベースの認証など、被害者から複数の認証情報を引き出すことが可能でした。この多段階認証を回避する手口により、本来であれば不正なクレジットカード取引をブロックするレイヤーである3D Secure protectionsをすり抜けていたのです。
FBIは被害総額を厳しく指摘しています。2023年7月以降、Outsider Enterpriseのプラットフォームにより、推定3.87 million credit cardsが盗まれ、約$1.9 billion in lossesが発生しました。このソフトウェアの以前のバージョンだけでも、95か国で少なくとも36,000 stolen payment cardsに関連付けられています。
詐欺の背後にある構造
Outsider Enterpriseは単一のグループではありません。Googleの訴状では、並行して活動する5つのサブグループが記述されています:
- Developer Group: フィッシングソフトウェアとサイトテンプレートを構築
- Data Broker Group: 公的記録、ソーシャルメディア、過去のデータ漏洩から被害者の連絡先リストを収集
- Spammer Group: 大量のテキストメッセージ配信インフラを管理
- Theft Group: 盗んだデータを収益化し、資金を洗浄
- Telegram Group: 上記すべてを繋ぐフォーラムを運営し、新規メンバーを勧誘
Googleの訴状にあるように、このプラットフォームの魅力は、技術的な知識が乏しい人間でも購入して参加し、Telegramフォーラムを通じて他の専門家に即座にアクセスし、登録から数分以内に本格的なフィッシングキャンペーンを開始できる点にあります。
オンラインユーザーにとっての全体像
この訴訟は、FBIのデータを見れば明らかですが、非常に深刻な状況下で提起されました。昨年の米国におけるサイバー詐欺による損失額は$21 billionにのぼります。そのうち$893.3 millionがAIを活用した詐欺に直接関連しており、インドだけでも5,879件の苦情が寄せられ、世界で2番目に報告数が多い国となっています。
AIツールが詐欺師の参入障壁を下げていることは新しい懸念ではありませんが、Outsider Enterpriseのケースはそれを具体的な脅威として浮き彫りにしました。コーディングの知識がない犯罪者でも、週に$100未満の支払いで、銀行レベルのセキュリティを回避するキャンペーンを即座に開始できる。これが、この訴訟が明らかにしている変化です。
Googleの法的措置は、損害賠償を求めるだけでなく、同社のAI製品を悪用することには代償が伴うことを示す目的もあります。ニューヨークでの裁判の結果、特にAIプロバイダーのツールがユーザーに対して武器として利用された場合に、裁判所がどのように判断を下すのかは注視すべき点です。
現状、フィッシングサイトを見抜くことはますます困難になっています。詐欺やデジタル上の脅威が、どのようにゲームやWeb3プラットフォームと交差しているのかを知りたい場合は、ゲーミングガイドセクションで、セキュリティ関連のトピックや知っておくべき情報を網羅しています。また、リアルマネーの仕組みをゲームプレイに組み込んだゲーム(1週間で100万本を売り上げたカジノクローラーなど)をプレイしている場合は、Gamble With Your Friends before you buyガイドを確認し、何に手を出そうとしているのかを正確に理解してください。脅威がゲーム内にあるか、受信トレイにあるかにかかわらず、情報を得ておくことが不意打ちを防ぐ最善の策です。
GoogleによるOutsider Enterpriseへの訴訟は現在進行中です。ニューヨークの連邦裁判システムで裁判が進むにつれ、法廷提出書類からさらなる詳細が明らかになる見込みです。
