中国発の高度なフィッシング・アズ・ア・サービス(PhAAS)「Lucid」が、大規模なiPhoneファームを用いて1日10万件以上の詐欺iMessageを送信していると、セキュリティ企業Catalystが警告した。Appleの暗号化技術を逆手に取り、スパム・詐欺フィルターを回避する仕組みで、Apple IDも一時的に生成され続けている。

加えて、AndroidのRCSを併用することで攻撃の成功率も高まっている。この仕組みは世界88カ国で169の組織を標的にしており、ユーザーの心理的油断を突く巧妙な攻撃に対し、従来のセキュリティ認識の見直しが迫られている。

Appleの暗号化技術が裏目に iMessageの盲点を突く「Lucid」の手口

セキュリティ企業Catalystの分析によれば、中国発のフィッシング・アズ・ア・サービス(PhAAS)「Lucid」は、iMessageの暗号化機能を逆手に取った巧妙な詐欺スキームを展開している。暗号化された通信経路はAppleですらメッセージ内容にアクセスできず、結果として不正メッセージの検知・遮断が著しく困難となっている。

Lucidはこの性質を利用し、毎日10万件を超える詐欺メッセージを世界各地に送り込んでいるという。この攻撃は、回転式に生成される一時的なApple IDと、物理的に構築された「iPhoneファーム」によって実行されており、詐欺の送信源を特定することすら困難である。

さらに、LucidはAndroidのRCSも併用し、プラットフォームに依存しないフィッシング攻撃の柔軟性を実現している。Appleの堅牢なセキュリティ設計は、本来ユーザー保護のために存在するが、第三者による正規手段での悪用には脆弱な側面を持つ。通信の秘匿性が完全であるがゆえに、意図しない「安全な攻撃環境」が成立してしまっている。

見過ごされがちな心理的盲点 詐欺を成立させる「ユーザーの信頼」

Lucidによるフィッシング攻撃の本質は、技術的な突破力だけにとどまらず、iMessageに対するユーザーの信頼を逆手に取った心理的な操作にある。Appleのメッセージアプリは「安全である」とする一般認識が広く浸透しており、その信頼感が確認を怠る油断へと繋がっている。

詐欺師たちはこの信頼を前提に、精巧な文面と誘導リンクを送り込む。Catalystの報告によれば、Lucidは正規サービスを模倣したテンプレートをも用意しており、リンク先のページすらも一見して詐欺とは判別しがたい外観となっている。リンクを開くという一動作が、被害への第一歩となる。

詐欺被害の多くは、技術よりも「信じてしまうこと」から始まる。Apple製品を使用しているという安心感、暗号化されているという技術的信頼、これらがユーザーを盲目的にさせ、慎重な判断を鈍らせてしまう点にこそ警戒が必要である。

増加するPhAASの高度化と「Lucid」が示す新たな脅威モデル

Lucidは単なる詐欺ツールではなく、フィッシング攻撃の包括的な提供基盤として機能している。登録者は技術的な知識を持たずとも、テンプレート、送信手段、さらにはApple IDの供給までを一括で利用可能となっており、詐欺行為の参入障壁が著しく下がっている。Catalystは、この仕組みが既に88カ国・169組織を標的にしていると報告している。

かつてフィッシングは個人が個別に仕掛ける手法だったが、LucidのようなPhAASプラットフォームの登場によって、詐欺は「スケール可能なサービス」へと変貌した。RCSの併用やデバイスファームによる分散送信は、従来型の防御手段を無力化しつつある。

これまで防御の要とされてきたセキュリティパッチやキャリアフィルターでは対処しきれない局面が増えている以上、個人のリテラシーと組織的な監視体制の強化が喫緊の課題となる。Lucidは、その脅威の構造自体を再定義しつつある。

Source:Android Headlines