2026年5月25日、Google Threat Intelligence Group(GTIG)はレポート「2 PhaaS 2 Furious: The Evolution of Chinese-language Phishing Services」を公開し、中国語圏のPhaaS(フィッシング・アズ・ア・サービス)エコシステムが急速に高度化・拡大していると警告しました。
最大のリスクは、フィッシングの目的がもはや「パスワードの収集」ではなく「リアルタイムOTP傍受によるMFAの即時突破」と「デジタルウォレットへのトークン転用による直接金融詐取」に移行していることです。
GTIGが分析した12のプラットフォームのうち、「YY来鱼(ワイワイ・ライユィ、拼音:YY Lái Yú)」は119か国を対象にしながら日本を最重点標的に位置付け、PayPay・JA銀行・楽天証券・メルカリ・任天堂など400超の日本向けテンプレートを提供しています。
現時点でこれらのPhaaS基盤は稼働中であり、中国語圏の低技術力の攻撃者でも日本のエンドユーザーを精度高く標的にできる環境が整っています。本記事ではGTIGの一次ソースをもとに、エコシステムの全体像・YY来鱼の日本特化戦略・MFA突破の仕組み・デジタルウォレット転用・AI自動化・有効な対策を解説します。
サマリー
- 2026年5月25日、Google Threat Intelligence Group(GTIG)が中国語圏PhaaS生態系の分析レポートを公開。12の成熟したプラットフォームを分析、多くが中国のより広い犯罪エコシステムに密接に関連
- PhaaS提供業者はTelegramで公開的に宣伝・活動。PII販売・VPSホスティング・マネーロンダリング・IMSIキャッチャー・スパム配信などを含む「完全サービス」を提供
- 最大の技術的転換は「静的パスワード収集」から「リアルタイムOTP傍受によるMFA即時突破」へ。管理パネルで攻撃者が被害者とリアルタイムで対話し、OTPをトークン期限前に奪取
- 窃取した支払い情報を攻撃者管理デバイスのデジタルウォレットにトークン登録し、高額取引・非接触支払い・ATM引き出しに転用するマネタイズ手法が標準化
- 「YY来鱼(ワイワイ・ライユィ)」は日本を最重点標的に。PayPay・JA銀行・楽天証券・メルカリ・任天堂・佐川急便など400超の日本向けテンプレートを展開。「ポイント失効」「冬季電気代補助金」などの日本経済状況に精通したルアーを使用
- 有効な対抗策はFIDO2/WebAuthnへの移行とデジタルウォレット発行時のリスクベース認証・デバイスフィンガープリンティングの強化。ユーザー教育だけでは不十分
目次
- 1 中国語圏PhaaS生態系の全体像—ロシア系と異なる公開性と多角的サービス
- 2 YY来鱼(ワイワイ・ライユィ)—日本を最重点標的に400超テンプレートを展開
- 3 確認されたフィッシングのターゲット ブランド
- 4 リアルタイムOTP傍受によるMFA突破—フィッシングの目的が根本から変わった
- 5 デジタルウォレット転用による即時マネタイズ—口座アクセスから「トークン化」へ
- 6 AI自動化とDarcula(UNC5814)—署名検知を無効化するクローンページ生成
- 7 RCS・iMessageを使った暗号化配信—キャリアSMSフィルタを迂回する配送インフラ
- 8 情報システム担当者が取るべき対応—FIDO2移行とウォレット発行時の追加検証
- 9 FAQ
- 10 参考情報
中国語圏PhaaS生態系の全体像—ロシア系と異なる公開性と多角的サービス
GTIGの公式レポート(著者:Jamie Collier)によれば、PhaaS(フィッシング・アズ・ア・サービス)の市場はこれまでロシア語圏の脅威アクターが支配してきましたが、中国語圏の競合エコシステムが急速に台頭しています。
中国語圏PhaaS業者の最大の特徴は公開性の高さです。
ロシア語圏の業者が運用セキュリティに細心の注意を払うのに対し、中国語圏の業者はTelegramチャンネルで堂々とサービスを宣伝し、高級ライフスタイルの写真を定期的に投稿しています。また、WeChat(微信)やTencent QQといった中国で一般的なプラットフォームよりもTelegramを優先しており、グローバルな顧客獲得を意識した運営スタイルが見られます。
GTIGが確認した重要な特徴として、これらのサービスが模倣する正規組織のほぼすべてが非中国系エンティティであることが挙げられます。つまり、中国語圏PhaaS業者は自国の中国を標的にすることはほとんどなく、国際市場を収益基盤としています。
さらに、提供されるサービスの範囲がPhaaS単体にとどまらない点も特徴的です。個人識別情報(PII)の販売、ドメイン名登録、VPSホスティングサービス、サーバーレンタル、マネーロンダリングサービス、盗聴機器(IMSIキャッチャー)、メッセージ一斉送信(スパム支援)、さらには窃取クレジットカード情報の売買まで含む「ワンストップ犯罪インフラ」として機能しています。
ロシア語圏PhaaS(Tycoon 2FAなど)が主に大企業の顧客を標的にするのに対し、中国語圏PhaaS業者は一般消費者を日和見的に広く狙う傾向があります。
YY来鱼(ワイワイ・ライユィ)—日本を最重点標的に400超テンプレートを展開
YY来鱼(ワイワイ・ライユィ、簡体字:YY来鱼)は2024年8月に最初に宣伝が確認されたサービスで、「YY Lai Yu」「Jeffrey Carrie」「Very casual」という主要運営チームが管理しています。119か国を対象としながら、最大の注力市場は日本です。
2025年11月以降、YY来鱼は400超のフィッシングテンプレートを顧客に提供しており、その内容は日本の消費者生活を精密にカバーしています。
確認されたフィッシングのターゲット ブランド
確認されているターゲットブランドには、
- Amazon
- Apple
- DMM
- エポスカード
- JA銀行
- JCBカード
- JR(鉄道)
- 松井証券
- メルカリ
- マネックス
- 任天堂
- 野村証券
- オリコカード
- PayPay(日本最大のモバイル決済アプリ)
- 楽天証券
- 佐川急便
が含まれます。
テンプレートの設計がとりわけ精巧なのは、日本固有の消費者心理を突いたルアーの存在です。
GTIGは「ポイント(積分)の失効」を警告してポイントを現金や商品に交換させるよう誘導するルアーと、日本冬季電気代補助金を装ったルアーを確認しています。
後者はインフレや光熱費高騰という日本の経済状況を正確に把握したうえで設計されており、被害者に財務的な緊迫感を持たせる高度な心理操作です。
技術的な防御回避策として、YY来鱼のフィッシングサイトには実際のフィッシングページが表示される前に人間確認用の独自アンチボット画面が設置されています。手動クリックを要求することで、セキュリティベンダーの自動解析を阻害し、偽サイトの検出を遅延させます。
管理パネルの機能として、窃取データのクエリ、BINナンバーによるカードの選別・除外リスト登録、国・地域単位のブロックリスト、Alibabaのドメイン登録サービスを通じたフィッシングページ用ドメインの登録・管理、オペレーターユーザーの作成と権限付与が確認されています。
リアルタイムOTP傍受によるMFA突破—フィッシングの目的が根本から変わった
GTIGレポートが強調する最重要の技術的変化は、フィッシングの主目的が「静的なパスワード収集」から**「リアルタイムでのOTP傍受によるMFA即時突破」**に移行したことです。
攻撃の流れを具体的に説明します。
- まず被害者が悪意あるリンクをクリックしてフィッシングページに誘導され、IDとパスワードを入力します。この情報は攻撃者の管理パネルにリアルタイムで表示されます。
- 攻撃者は被害者が認証フローを進めている間に、正規サービス上でも同じアカウントでOTP(ワンタイムパスワード)送信をトリガーします。
- 被害者は偽のページ上でそのOTPを入力し、攻撃者はトークンが失効する数秒前にそれを奪取します。
このプロセスはAiTM(Adversary-in-The-Middle)攻撃と呼ばれ、SMSや認証アプリによる従来の多要素認証(MFA)を完全に無効化します。
ユーザーにとっては通常の認証体験と区別がつかず、「MFAを設定しているから安全」という認識が通用しなくなっています。
GTIGはこの変化を「従来の受動的な認証情報収集は、これらのネットワーク侵害を防ぐことができない」と明確に指摘しています。
デジタルウォレット転用による即時マネタイズ—口座アクセスから「トークン化」へ
もうひとつの重大な変化は、窃取した認証情報のマネタイズ手法の転換です。
従来の金融フィッシングは窃取したIDとパスワードで被害者の口座にログインし、振込や不正利用を試みるものでした。しかしGTIGが確認した中国語圏PhaaS業者の手法は一歩進んでいます。取得した支払いカード情報とOTPを使って、攻撃者が管理するデバイスのデジタルウォレット(Apple PayやGoogle Payなど)に被害者のカードを登録(プロビジョニング)します。
一度デジタルウォレットにトークン登録されたカードは、高額取引・非接触支払い・ATM引き出しへの利用が可能になります。
この手法の危険性はカードの物理的な窃取・偽造が不要であること、そして被害者が被害に気づきにくいことにあります。
さらに証券口座向けのテンプレートも整備されており、口座乗っ取り(ATO)を通じた電信送金詐欺や株式操作への転用も確認されています。GTIGは「攻撃の目標は単なるログインアクセスではなく、被害者の金融口座に対する直接的な不正コントロールの確立」と位置付けています。
AI自動化とDarcula(UNC5814)—署名検知を無効化するクローンページ生成
GTIGは中国語圏PhaaS業者のなかで「Darcula」プラットフォームを特に注目すべき事例として挙げています。GTIGはDarculaをUNC5814として追跡しており、このプラットフォームはAI活用の点で最も進んでいます。
Darculaは静的テンプレートを廃止し、ターゲットとなる正規サイトのURLを入力するだけで、そのサイトのHTML・CSS・JavaScript・視覚要素を自動で複製したフィッシングページを生成します。
Puppeteerというブラウザ自動化ツールを使用するため、各フィッシングページは毎回固有のシグネチャを持ちます。これにより、既知のフィッシングページのシグネチャを照合する従来型の署名検知方式は機能しなくなります。
GTIGによれば複数の中国語圏PhaaS業者がAIを採用しており、「規模とステルス性の両立」が可能になったとしています。
これは情報システム担当者にとって、URLブロックリストや既知フィッシングURLの照合だけでは防御として不十分になっていることを意味します。
RCS・iMessageを使った暗号化配信—キャリアSMSフィルタを迂回する配送インフラ
フィッシングリンクの配信方式にも従来からの転換があります。SMSベースのフィッシング(スミッシング)はキャリア側のフィルタリングで一定程度ブロックできますが、中国語圏PhaaS業者はこれを回避するためにRCS(リッチコミュニケーションサービス)とAppleのiMessageを積極的に活用しています。
これらのプロトコルはエンドツーエンド暗号化を使用しているため、キャリアや中継サーバー側でリンクの内容を検査・フィルタリングすることが技術的に困難です。加えて、既読通知・入力中インジケーター・グループチャット・高解像度画像・動画の送信など、通常のビジネスコミュニケーションを模した豊富な機能が備わっているため、ルアーメッセージが正規の通知に見えやすい特性があります。
YY来鱼をはじめとする業者はRCS・iMessageを使った一括暗号化メッセージ送信を標準化しており、デバイス側の保護機能(フィッシングリンクの視覚的警告など)が最後の防衛線になりつつあります。
情報システム担当者が取るべき対応—FIDO2移行とウォレット発行時の追加検証
「ユーザーへの認識教育は重要な第一防衛線であるが、それだけでは不十分」という前提のもと、技術的なコントロールへの移行を強く求めています。
最も効果的な対策はFIDO2/WebAuthnへの移行です。FIDO2準拠のハードウェアセキュリティキーやパスキーは、AiTM攻撃が行うリアルタイムOTP傍受を構造的に無効化します。フィッシングサイトではFIDO2の認証チャレンジを正規に処理できないため、攻撃者がOTPを奪取するという手口が成立しなくなります。ただし、FIDO2ではカード情報などの支払いデータを直接フィッシングサイトに入力する行為は防げないため、支払いフローへの追加的な保護も必要です。
デジタルウォレットのプロビジョニング段階におけるリスクベース認証とデバイスフィンガープリンティングの強化も有効です。発行銀行がデジタルウォレット登録時に「新規デバイス」「初回登録」「地理的異常」などのリスクシグナルを検知して追加認証を要求する仕組みを導入することで、攻撃者が別デバイスにカードを転用するステップで阻止できます。
YY来鱼のように日本の特定サービスを精密に模倣した日本語テンプレートが400超存在する以上、「日本人は中国語のフィッシングサイトに騙されない」という安心感は根拠のないものです。FinTech・証券・EC・決済サービスを提供する企業のセキュリティ担当者は、自社が偽装対象になっていないかをGTIGのレポートで確認することを推奨します。
FAQ
Q. YY来鱼(ワイワイ・ライユィ)が対象にしている「400超のテンプレート」には具体的にどのようなサービスが含まれますか? A. GTIGが確認した日本向けターゲットには、Amazon・Apple・DMM・エポスカード・JA銀行・JCBカード・JR(鉄道)・松井証券・メルカリ・マネックス・任天堂・野村証券・オリコカード・PayPay・楽天証券・佐川急便が含まれます。「ポイント失効」「冬季電気代補助金」を装ったルアーも確認されており、日本の消費者生活を詳細に把握した設計です。
Q. MFAを設定していれば安全ではないのですか? A. SMSや認証アプリによるOTPベースの従来型MFAは、リアルタイムOTP傍受(AiTM)によって突破されます。GTIGは「FIDO2/WebAuthn(パスキーやハードウェアセキュリティキー)への移行が最も効果的な対抗策」と明示しています。FIDO2はフィッシングサイトでの認証を技術的に成立させないため、OTPが奪取されるという手口が根本から機能しなくなります。
Q. 「デジタルウォレットへのトークン登録」とはどういう意味ですか? A. Apple PayやGoogle Payなどのデジタルウォレットに支払いカードを登録する際、カード番号は「トークン」という別の識別子に変換されデバイスに保存されます。攻撃者が被害者のカード情報とOTPを入手した場合、このプロビジョニングプロセスを悪用して攻撃者自身のスマートフォンに被害者のカードを登録できます。登録後は非接触決済や高額取引に悪用できるため、カードの物理的な窃取と同等の被害が生じます。
Q. RCSやiMessageを使ったフィッシングへの対策はありますか? A. SMSフィッシング(スミッシング)対策として有効だったキャリアフィルタリングはRCS・iMessageには効きません。対策としては、企業側で在籍する従業員向けにモバイルデバイス管理(MDM)や企業専用のフィッシング検知ソリューションを展開すること、ユーザー個人は「未知の連絡先からのリンクは絶対にクリックしない」というルールを徹底することが重要です。
Q. YY来鱼はGoogleに通報されていますか? A. GTIGのレポートでは「昨年末(2025年末)にGoogleはあるPhaaS業者に対して法的措置を取った」と言及されています。YY来鱼への直接的な法的措置の言及はありませんが、Googleは立法推進と技術的保護措置の実施に取り組んでいるとしています。
参考情報
- Google Threat Intelligence Group公式レポート「2 PhaaS 2 Furious: The Evolution of Chinese-language Phishing Services」(Jamie Collier、2026年5月25日)
- Security Online Info「Rising Chinese PhaaS Ecosystem Bypasses Modern Security Controls」(2026年5月29日)
- 関連:LLMShare——ChatGPT共有リンクを悪用したマルウェア配布キャンペーン
- 関連:Booking.comフィッシング——正規ドメイン悪用フィッシングの類似事案
- 関連:FIFA 2026不審ドメイン——ブランド名を悪用したフィッシング
- 関連:サイバー攻撃・情報漏えい最新事例まとめ2026








