PhaaS（フィッシングアズアサービス）とは？初心者でもわかる詐欺用語辞典

PhaaSをわかりやすく

PhaaSとは

• PhaaS（Phishing as a Service）とは、フィッシング詐欺に必要なツールやインフラを提供するサービス。これは、まるで詐欺を行うための道具一式をレンタルするようなものだ。攻撃者は、自ら複雑なシステムを構築することなく、用意されたツールを利用して簡単にフィッシング詐欺を始められる。
• 技術的な知識が少ない攻撃者でも高度なフィッシング攻撃が可能になる。従来、高度なフィッシング攻撃には専門的な知識やスキルが必要だったが、PhaaSの登場により、そうした障壁が大幅に下がった。これにより、サイバー犯罪に手を染める者の裾野が広がり、より多くの人々がフィッシング詐欺を実行するようになった。
• 既製のキットやテンプレートを利用し、短時間で大規模な攻撃を実行できる。PhaaSプロバイダーは、偽のウェブサイトのテンプレートやメールのひな形などを豊富に用意しており、攻撃者はこれらを活用することで、効率的に多数のターゲットに対して攻撃を展開できる。

PhaaSの主な目的は、技術的な専門知識を持たない人物でも、手軽にそして効果的にフィッシング詐欺を実行できるようにすることだ。これは、サイバー犯罪の民主化とも言える現象であり、以前は高度なスキルを持つ者しか行えなかった詐欺行為が、一般の犯罪者にも手の届くものになった。

基本的な概念は、熟練したハッカーや犯罪グループが、フィッシングに必要なツール一式を開発し、それを他の攻撃者が利用できるようにサービスとして提供するというものだ。このツールには、本物そっくりの偽のウェブサイトのテンプレート、騙しのメールを作成するためのひな形、盗んだデータを収集するための仕組みなどが含まれる。PhaaSプロバイダーは、これらのツールをまとめて「フィッシングキット」として提供する。

これにより、攻撃者は、フィッシング詐欺に必要なインフラを自ら構築したり、複雑なプログラミングを行ったりする必要がなくなる。彼らは、PhaaSプロバイダーが提供するサービスに料金を支払い、アカウントを作成するだけで、すぐにフィッシング攻撃を開始できる。これは、あたかもソフトウェアを利用するためにサブスクリプション契約を結ぶのと同じような感覚だ。

さらに、PhaaSプラットフォームは、多くの場合、攻撃が成功するためのサポートやアップデートも提供する。これには、技術的なトラブルシューティングのサポートだけでなく、最新のセキュリティ対策を回避するための情報や、新しいテンプレートの提供なども含まれる。これにより、攻撃者は常に最新の手法を利用して、より効果的に詐欺を行うことができる。

PhaaSの具体的な例

PhaaSは、例えるなら「詐欺師向けの道具レンタル」のようなものだ。魚釣りに例えるなら、熟練した漁師が作った高性能な釣り竿やルアーを、釣りの経験が少ない人でも借りて使えるようなイメージだ。これにより、誰でも簡単に魚を釣ることができるようになる。同様に、PhaaSを利用すれば、サイバー犯罪の経験が少ない者でも、高度なフィッシング詐欺を実行できる。

攻撃者は、オンラインの闇市場やハッカーフォーラムなどを通じて、PhaaSプロバイダーを見つけ、料金を支払うことで、すぐに使えるフィッシングキットを入手できる。以前は、これらのツールは高度な技術を持つハッカーが自ら開発する必要があったが、PhaaSの登場により、誰でも手軽に利用できるようになった。最近では、通常のインターネット上でもPhaaSの広告が見られるようになっている。

具体的な例として、攻撃者は有名なオンラインサービス（銀行、SNS、ECサイトなど）のログインページを模倣したテンプレートを選び、わずかなカスタマイズで本物そっくりの偽サイトを作成する。これらのテンプレートは、ロゴやデザインだけでなく、ウェブサイトの挙動まで忠実に再現されているため、被害者は容易に騙されてしまう。

その後、攻撃者は、作成した偽のログインページへのリンクを記載したメールを大量に送信する。これらのメールは、緊急性を煽ったり、お得な情報を提供したりするなど、受信者の心理を巧みに利用してクリックを促すように作られている。被害者がリンクをクリックして偽サイトにアクセスし、IDやパスワードなどの個人情報を入力すると、その情報は攻撃者に送信される。

最近では、より高度なPhaaSキットでは、二要素認証（2FA）を回避する機能を持つものも登場している。二要素認証は、IDとパスワードに加えて、別の認証要素（例えば、スマートフォンに送信されるワンタイムコード）を要求することでセキュリティを強化する仕組みだが、一部のPhaaSキットは、この認証プロセスを巧妙に迂回する技術を備えている。

PhaaSを使用する手順

PhaaSによる事件

2025年初頭には、Tycoon2FA、EvilProxy、Sneaky2FAといった主要なPhaaSプラットフォームを利用した攻撃が世界中で急増した。これらのプラットフォームは、高度な機能を備えており、セキュリティ対策を回避する能力も高い。特にTycoon2FAは、2025年1月のPhaaS関連インシデントの89%を占めるほど、活発に利用されていた。

2024年には、ChangeHealthcareがフィッシング攻撃により1億人以上のユーザー情報が漏洩する被害に遭った。この攻撃は、医療業界に大きな混乱をもたらし、PhaaSが利用された可能性も指摘されている。

同じく2024年には、PepcoGroupが約1550万ユーロを失うフィッシング詐欺に遭った。この攻撃では、高度なAIツールが利用され、PhaaSキットと組み合わされた可能性も考えられている。

2020年に発見されたBulletProofLinkは、初期の主要なPhaaSプロバイダーであり、多くのフィッシング攻撃に関与していたとされる。Microsoftの調査によると、BulletProofLinkは現代のサイバー空間における多くのフィッシング攻撃の背後にいたという。

「SharkTank」の出演者であるBarbaraCorcoranが、アシスタントを装った詐欺により約40万ドルを騙し取られた事件も、PhaaSが利用された疑いがある事例として挙げられている。この事件は、著名人が被害に遭ったことで、PhaaSの脅威を広く知らしめることになった。

SniperDzというPhaaSプラットフォームは、主にSNSやオンラインサービスを標的としており、無料でサービスを提供している。これは、ユーザーの認証情報を収集して収益化している可能性がある。SniperDzは、顧客サポートのためにTelegramチャンネルを運営しており、多くの利用者がいることが確認されている。

MorphingMeerkatと呼ばれるPhaaSの攻撃者は、DNSoverHTTPS（DoH）とDNSMailExchange（MX）レコードを悪用して、動的にフィッシングキャンペーンを展開している。この攻撃者は、少なくとも5年前から活動しており、その高度な手法は共通のPhaaSプラットフォームの存在を示唆している。

PhaaSプラットフォームの例

プラットフォーム名	主な標的	主な特徴
Tycoon 2FA	各種組織用	高度な機能、暗号化、.ruドメイン利
EvilProxy	Microsoft 365、Google	リバースプロキシ、高度な模倣性
Sneaky 2FA	Microsoft 365	AiTM攻撃、Telegram連携、2FAバイパス
Sniper Dz	SNS、オンラインサービス	無料提供、SaaSプラットフォーム悪用、無料
BulletProofLink	不明	初期の主要PhaaSプロバイダー
Morphing Meerkat	各種ユーザー DoH/DNS	MX悪用、動的コンテンツ配信

PhaaSについてのよくある質問

PhaaSが生まれた歴史や背景

初期のフィッシング詐欺は1990年代にAmericaOnline（AOL）のユーザーを標的としたものが始まりとされる。当時、インターネットはまだ新しい技術であり、ユーザーのセキュリティ意識も低かったため、簡単な手口でも多くの被害者が出た。ハッカーたちは、AOLの従業員を装ってユーザーにメッセージを送り、パスワードなどの個人情報を騙し取っていた。

2000年代に入ると、電子商取引の普及とともに、eBayやPayPalなどのオンライン決済サービスを標的としたフィッシング攻撃が増加した。攻撃者は、これらのサービスの利用者に偽のメールを大量に送信し、偽のログインページに誘導して個人情報を盗んでいた。

2004年頃には、フィッシングは組織化され、専門的な役割分担が進み、犯罪経済の一部として確立された。フィッシングに必要なツールやインフラを開発する者、攻撃を実行する者、盗んだ情報を売買する者など、それぞれの役割を持つ犯罪者が連携して活動するようになった。

PhaaSの概念が登場したのは比較的最近であり、2020年頃にBulletProofLinkのような主要なプロバイダーが確認された。これは、フィッシングがさらに高度化し、サービスとして提供されるようになったことを意味する。

インターネット技術の進歩、特にクラウドコンピューティングや自動化技術の発展が、PhaaSの実現と普及を後押ししたと考えられる。クラウド技術により、攻撃者は安価かつ容易にフィッシングに必要なインフラを構築できるようになった。また、自動化技術により、大規模な攻撃を効率的に実行することが可能になった。

PhaaSのまとめ