1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 偽CAPTCHAをクリックするたびに国際SMSが自動送信-テレコム詐欺に悪用

偽CAPTCHAをクリックするたびに国際SMSが自動送信-テレコム詐欺に悪用

セキュリティニュース

投稿日時: 更新日時:

偽CAPTCHAをクリックするたびに国際SMSが自動送信-テレコム詐欺に悪用

CAPTCHAは「ロボットではないことを証明する」ためのセキュリティ検証として誰もが知っているものです。しかしネットワークセキュリティ企業Infobloxの脅威インテリジェンスチームは2026年4月、この「CAPTCHAを解く」という行為そのものを悪用した詐欺スキームが2020年6月以来6年近くにわたって静かに被害者の電話料金を搾取し続けていることを公表しました。

この詐欺は「国際収益分配詐欺(IRSF:International Revenue Share Fraud)」と呼ばれるテレコム詐欺の一種であり、偽CAPTCHAへのクリックを引き金に被害者のスマートフォンから無断で国際SMSを大量送信させることで、通信キャリアの収益分配スキームを悪用して詐欺師が利益を得る仕組みです。

この記事のサマリー

  • 被害者がタイポスクワットドメイン(有名な通信会社を模倣した偽ドメイン)を訪問すると、トラフィック分散システム(TDS)経由で偽CAPTCHAページへ誘導されます。
  • 偽CAPTCHAは「iOS or Android?」「4G or WiFi?」などの質問を表示します。クリックのたびにJavaScriptが被害者のSMSアプリを起動し、事前入力された国際電話番号に自動的にSMSを送信します。
  • 4ステップの「認証」完了時に最大60通のSMSが送信され、17か国35番号にまたがる宛先に届きます。アゼルバイジャン・カザフスタン・ミャンマーなど終了料金の高い国が標的に選ばれています。
  • 1回のセッションで約30ドルの料金が発生する可能性があり、電話料金明細には数週間後まで反映されないため、多くの被害者は詐欺サイトを訪れたこと自体を忘れた頃に気づきます。
  • バックボタンハイジャックによって被害者は詐欺ページから脱出できなくなります。Googleは2026年4月にこの技術を「悪質な慣行」として禁止を発表しました。
  • 本キャンペーンは欧州を拠点とするClick2SMSネットワーク(AS15699、Adam Ecotech)のアフィリエイトに帰属されており、マルウェア・スケアウェアの配布に使用されているTDSと同じインフラが電話詐欺にも流用されています。
  • 正規のセキュリティ検証はSMSの送信を求めることは一切ありません。

IRSFとは——テレコム詐欺の収益構造

IRSF(International Revenue Share Fraud)とは、通信キャリアの国際通話・SMSに関する収益分配協定を悪用した詐欺です。

仕組みは次の通りです。詐欺師は特定の国(終了料金の高い国)に電話番号を確保します。この番号への着信が発生するたびに、その国の通信キャリアを経由した収益の一部が詐欺師に分配されます。詐欺師は被害者のデバイスからこれらの番号への大量送信を引き起こすことで、通常の商取引を装いながら不正な収益を得ます。

Click2SMSはIRSFの一形態で、アフィリエイトマーケティングモデルです。ユーザーが1回のクリックでSMSを送信するよう誘導し、キャリアの課金システムを通じて収益を生む仕組みです。被害者は自分が何の代価も受け取ることなく、詐欺師のためにSMSを送信させられています。

攻撃の全体像——偽CAPTCHAへの誘導経路

ステップ1:タイポスクワットドメインへの誘導

攻撃はユーザーが有名な通信会社ブランドを模倣したタイポスクワットドメイン(アドレスを打ち間違えた際に辿り着く偽ドメイン)を訪問することから始まります。

ステップ2:TDS(トラフィック分散システム)を経由した誘導

訪問者は複雑なトラフィック分散システム(TDS)を通じて複数のノードを経由させられます。2026年3月の観察では、ドイツの商業広告ネットワークを経由してから詐欺師が制御するランディングページ(zawsterriscomなど)に到達するパスが確認されています。このTDSはセキュリティ研究者や自動検知システムから悪意あるランディングページを隠蔽する役割も果たします。

ステップ3:偽CAPTCHAでのSMS自動送信

ランディングページでは偽のCAPTCHA検証が表示されます。ここが通常のCAPTCHAと根本的に異なる点です。「iOS or Android?」「4G or WiFi?」といった選択肢が並びますが、これはCAPTCHAの仕組みとはまったく関係がありません。

被害者が回答をクリックするたびにmakeTrackerDownload.phpというJavaScript関数が起動し、スマートフォンのSMSアプリを開いて事前入力されたメッセージと大量の国際電話番号をセットします。被害者が「送信」を押すだけでSMSが発射されます。

4ステップの「認証」が完了すると以下の被害が発生します。

項目 詳細
送信SMS数 最大60通
送信先の国数 17か国
送信先電話番号数 35番号以上(50以上の宛先)
標的とされる国 アゼルバイジャン・カザフスタン・ミャンマー等(終了料金が高い国)
1セッションあたりの被害額 約30ドル(約4,500円)以上
被害者が気づくまでの期間 数週間後の電話料金明細が届くまで

脱出不可能にする技術

被害者が「おかしい」と気づいてブラウザのバックボタンを押しても、詐欺ページから脱出できないように設計されています。スクリプトがブラウザの履歴に新しいエントリをプッシュし、詐欺ページを自動的にリロードすることで、被害者を無限ループに閉じ込めます。完全に脱出するにはブラウザを強制終了するしかありません。

GoogleはInfobloxの調査を踏まえ、2026年4月にバックボタンハイジャックを「悪質な慣行」として正式に禁止を発表し、2026年中頃からこの技術を使用するサイトへのペナルティを予告しています。

6年間にわたる精緻なキャンペーン管理

Infobloxの調査で注目すべき点は、このキャンペーンが2020年6月以来一貫したインフラと手法を維持しながら継続していることです。

同じ3〜4個の専用トラッキングCookieが2020年6月以来継続使用されており、Cookie内には「tracking」と「c2s」(Click2SMSを指す)の文字列が含まれています。これらのCookieはユーザーの地理的位置・言語・ISP・デバイス種別を追跡し、多段階検証フローの進行状況を管理します。さらに「キャンペーンの成功見込み率」を算出して最適でないユーザー(企業ネットワークからのアクセス、VPN利用者等)をフィルタリングし、詐欺が成功しやすい個人ユーザーのみを標的にする精緻な設計が確認されています。

欧州Click2SMSネットワークのアフィリエイト

InfobloxはこのIRSFキャンペーンを、欧州を拠点とするClick2SMSネットワーク(インフラはAS15699=Adam Ecotechでホスト)のアフィリエイトに帰属しています。

注目すべき点は、マルウェア・スケアウェアの配布に使用されているTDSと同一のインフラが電話詐欺にも流用されていることです。サイバー犯罪のインフラが用途を問わず横断的に使い回される「インフラの産業化」が本件でも確認されています。

個人・企業が取るべき対策

個人向け対策として、最も重要なのは「正規のセキュリティ検証はSMSの送信を求めることは一切ない」という事実を覚えておくことです。CAPTCHAの解答としてSMS送信を求められた場合は即座にブラウザを閉じてください。バックボタンでは脱出できないため、ブラウザの強制終了またはタブを直接閉じる操作が必要です。電話料金明細を月次で確認し、心当たりのない国際SMS料金があれば即座に通信キャリアに連絡することも重要です。

企業・情シス向け対策として、DNSセキュリティツールを使用してTDSドメインや悪意あるリダイレクトドメインを検知・ブロックすることが有効です。また企業が提供するWebサービスや認証フォームに「SMSを送信させるCAPTCHA」が意図せず実装されていないかを確認することも必要です。

通信キャリア向け対策として、短時間での国際SMS急増パターンのリアルタイム監視、IRSF指標のキャリア横断での共有、TDS経由のトラフィックチェーンの検知が重要とInfobloxは指摘しています。

よくある質問(FAQ)

Q. 偽CAPTCHAと本物のCAPTCHAをどう見分ければよいですか? 正規のCAPTCHAは「画像を選ぶ」「文字を入力する」「チェックボックスをクリックする」などの操作のみを求めます。SMSの送信を求める、アプリを開くよう誘導する、「デバイスの種類(iOS/Android)」や「通信速度(4G/WiFi)」などをデバイス種別確認と称して選ばせるCAPTCHAは偽物です。

Q. 誤ってSMSを送信してしまった場合どうすればいいですか? すぐに通信キャリアに連絡し、心当たりのない国際SMS料金が発生していないかを確認してください。発生している場合は被害として申告できる可能性があります。送信先の番号は国際詐欺に使用されているため、着信があっても折り返しの連絡は絶対に行わないでください。

Q. なぜ被害が数週間後まで気づかれないのですか? 国際SMSの料金は即時に通知されるシステムになっていないことが多く、月次の請求書が届いて初めて気づくケースが大半です。また1セッションあたりの被害額は約30ドルと比較的小さいため、明細を詳細に確認しない場合は見落とされやすい金額でもあります。

Q. この詐欺はスマートフォンのみが対象ですか? SMS送信機能を前提とする詐欺であるため、主にスマートフォンが標的です。PCからアクセスした場合も偽CAPTCHAページは表示されますが、SMSアプリの自動起動には対応するアプリ連携が必要なため、PCでは被害が発生しにくい設計です。

参考情報

関連記事

全ての Wi-Fiクライアントへ影響する脆弱性が観測される(CVE-2023-52424 )全ての Wi-Fi クライアントへ影響する脆弱性が観測される(CVE-2023-52424 ) Googleが「戻るボタンハイジャック」をスパム認定-ユーザー体験が改善Googleが「戻るボタンハイジャック」をスパム認定-ユーザー体験が改善 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 DNSへのサイバー攻撃:ドメインハイジャックの新たな脅威DNSへのサイバー攻撃:ドメインハイジャックの新たな脅威 iPhone ユーザーは要 バージョン確認-ハッキング ツール DarkSword がGitHubに流出iPhone ユーザーは今すぐ バージョン確認を-ハッキング ツール DarkSword がGitHubに流出 NET MAUI を使用して検出を回避する新しいAndroidマルウェアキャンペーンが確認されるNET MAUI を使用して検出を回避する新しいAndroidマルウェアキャンペーンが確認される Netgear ルーターの重大な脆弱性が修正、早急にアップデートをNetgear ルーターの重大な脆弱性が修正、早急にアップデートを 北朝鮮がDrift Protocolへ標的型攻撃とソーシャルエンジニアリングで456億円を窃取-サイバー攻撃の手口と日本企業への脅威を解説北朝鮮がDrift Protocolへ標的型攻撃とソーシャルエンジニアリングで456億円を窃取-サイバー攻撃の手口と日本企業への脅威を解説 Googleが2025年のGoogle Playのセキュリティ対策を総括-規約違反アプリ175万件を公開前に阻止、開発者アカウント8万件超を停止Googleが2025年のGoogle Playのセキュリティ対策を総括-規約違反アプリ175万件を公開前に阻止、開発者アカウント8万件超を停止