概要
FBIアトランタ支部とインドネシア国家警察は2026年4月13日、大規模なフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「W3LL」の解体に成功したと発表した。米国とインドネシアがフィッシングキット開発者を対象に連携した初の法執行行動とされており、開発者として特定された「G.L.」がインドネシア当局によって逮捕されるとともに、プラットフォームに関連する複数のドメインおよびインフラが押収された。W3LLは少なくとも2017年から活動していたとされ、当初はスパムツール開発から始まり、やがてMicrosoft 365アカウントを主な標的とする高度なフィッシングプラットフォームへと進化した。
ツールの技術的特徴
W3LLキットは約500ドルで販売されており、サイバー犯罪者が正規の企業ログインページに見せかけた偽サイトを構築することを可能にした。最大の特徴は、Adversary-in-the-Middle(AitM)攻撃手法の採用で、攻撃者のインフラ経由で正規ログインポータルをプロキシする仕組みにより、認証情報・ワンタイムMFAパスコード・セッションクッキーをリアルタイムで傍受できた。これにより多要素認証(MFA)の保護を回避し、被害者のアカウントへ不正アクセスが可能となった。また、ビジネスメール詐欺(BEC)向けに16種類のカスタマイズ可能なツールを提供しており、攻撃者は侵害後に受信トレイの監視、メール転送ルールの設定、請求書詐欺の実行まで一貫して行えた。付属のマーケットプレイス「W3LLSTORE」では、窃取した認証情報や不正ネットワークアクセスの売買も行われていた。
被害規模と活動の経緯
W3LLによる被害は長期にわたり広範囲に及ぶ。2019年から2023年にかけてW3LLSTOREを通じて25,000件以上の侵害アカウントが販売され、2022年10月から2023年7月の期間だけでも米国・英国・オーストラリア・ヨーロッパの企業Microsoft 365アカウント56,000件以上が標的にされた。2023年から2024年にかけては世界で17,000人以上の被害者が確認されており、試みられた詐欺被害総額は2,000万ドル以上にのぼる。Group-IBが2023年9月にW3LLSTORE の活動を初めて公式に記録したが、同年にストアは閉鎖された。しかしその後も運営者は暗号化メッセージングプラットフォームを通じて活動を継続し、ツールをリブランドして他の脅威アクターへの配布を続けていた。
今後の展望
今回の摘発はPhaaS(Phishing-as-a-Service)モデルへの対応における重要な一歩だが、課題も浮き彫りになった。W3LLSTOREが2023年に閉鎖された後も活動が継続した事例が示すように、PhaaSエコシステムはインフラが押収されても他のチャネルを通じて存続する高い回復力を持つ。FBIは今回の成果について「サイバー犯罪者が不正アクセスに利用していた主要なリソースの遮断」と評価しており、今後も国際的な法執行機関の連携強化が求められる。組織や企業としては、MFA回避攻撃への対策としてFIDO2/パスキーなどフィッシング耐性のある認証方式への移行がより強く推奨される状況となっている。