日本を主に狙うPhaaS「YY Lai Yu」も：中国語フィッシングサービスコミュニティが急成長

日本を主に狙うPhaaS「YY Lai Yu」も：中国語フィッシングサービスコミュニティが急成長

Help Net Security – May 26, 2026

これまでロシア語話者の脅威アクターらが優勢だったフィッシング・アズ・ア・サービス（PhaaS）の領域において、中国語のPhaaSコミュニティが急速に成長しつつあるとGoogleの脅威インテリジェンスグループ（GTIG）が報告。このエコシステムでは、従来のフィッシングのような「静的なパスワード窃取」から、「リアルタイムのデータ傍受・トークン化」への戦術上のシフトが見受けられるという。

GTIGは、中国語アンダーグラウンドコミュニティで出回っている10数種のPhaaSを分析。いずれも「成熟したサービス」で、その多くが中国語圏のより広範な犯罪エコシステムと複雑に結びついている可能性が高いと指摘した。こうしたPhaaSの宣伝は主にTelegramに投稿されており、中国でより人気の高いWeChat（Weixin）やTencent QQなどのチャンネルは使われないという。このTelegramを中心としたアプローチは、より広範な中国語圏サイバー犯罪エコシステムのものと一致しているとGTIGは説明している。

日本を主な標的とするPhaaS「YY Lai Yu（YY来鱼）」

従来のフィッシングキットといえば、静的かつ低品質な翻訳版テンプレートに頼ったものが多かった。しかしGTIGによれば、中国語圏PhaaSは、AI駆動型のフィッシングページ生成ツールや地域特化型の配信サポートを採用することにより、世界中の各地域に合わせてローカライズしたフィッシングコンテンツを作成できるようになりつつあるという。

この「ローカライゼーション・アズ・ア・サービス」のケーススタディとしてGTIGが紹介しているのが、「YY Lai Yu（YY来鱼）」と呼ばれるPhaaSサービス。2024年8月に初めて宣伝されたこのプラットフォームは、世界119か国に対するフィッシングに対応しており、特に日本に大きな比重を置いているという。

2025年11月以降にYY Lai Yuが提供してきたフィッシングテンプレートの件数は400件を超えており、この中にはAmazon JapanやApple Japanのほか、DMMやエポスカード、JAバンク、JCBカード、JR、松井証券、メルカリ、マネックス証券、任天堂、野村證券、オリコカード、PayPay、楽天証券、佐川急便といった日本ブランドを模倣するためのテンプレートも含まれていたとされる。

偽のアカウントページへログインさせるような一般的なフィッシング手法だけではなく、「ポイント交換」や「報酬獲得」などの日本の消費者に馴染み深い習慣もフィッシングルアーとして活用されていたことから、GTIGは「現地の経済情勢に関する深い認識」が示されていると指摘した。このように、YY Lai Yuのサービスは中国語話者の脅威アクターらに対し、「日本の消費者エコシステムを効果的に狙う上で必要な、ローカライズされたインフラ」を提供しているとGTIGは説明している。

暗号化された配信経路の利用

YY Lai Yuが特に日本にフォーカスを当てたサービスだったのに対し、中国語PhaaSエコシステム全体を見ると、その標的は世界全体に広がっているという。GTIGは、北米・南米、ヨーロッパ、オーストラリア、中東のユーザーを侵害するための自動化されたフィッシングインフラが日常的に展開されている様子を観測している。

YY Lai Yuも含め、こうしたPhaaSを使った攻撃はまず、RCS（リッチコミュニケーションサービス）やAppleのiMessageなど、暗号化された配信経路を使用してフィッシングルアーをターゲットに送付。これらはエンドツーエンド暗号化を使用するプロトコルで、サーバーサイドの配信インフラ側での悪性リンクの検証・フィルタリングが困難になっているという。フィッシングメッセージに既読通知や入力中表示、グループチャット機能に加え、高解像度の画像や動画、大容量ファイルの送信機能などのより広範なコミュニケーション機能が備わり、一見本物らしく見える点も、ソーシャルエンジニアリングに最適な理由の1つだという。

リアルタイムでの情報傍受

GTIGが分析した中国語圏PhaaSの大きな特徴の1つが、リアルタイムでの情報傍受。フィッシングルアー内の悪意あるリンクをターゲットユーザーがクリックし、移動先のフィッシングページ上で認証情報を入力すると、その情報は即座に攻撃者側の管理パネルに表示されるため、攻撃者はリアルタイムで標的ユーザーの挙動を確認できるようになっている。したがって、例えばユーザーがワンタイムパスコード（OTP）を要求されたら、攻撃者自身の端末でも同様のOTPリクエストをトリガーし、被害者ユーザーがフィッシングページに入力したOTPを、期限切れになる前にすぐさま傍受・利用することなどが可能になっているという。

デジタルウォレットを使った収益化

中国語圏PhaaSにはまた、収益化のためにデジタルウォレットを使用するという特徴もある。攻撃者は、フィッシングページで盗み出した認証情報とOTPを利用して、被害者のカードを攻撃者の端末上にあるデジタルウォレットに登録。トークン化されたこのカードはその後、高額な取引や非接触型決済（タッチ決済）、ATMでの引き出しなどに悪用される恐れがあるという。

AIの活用

GTIGはさらに、複数の中国語PhaaSオペレーターがAIを活用していることも報告。その一例として、「Darcula」と呼ばれるPhaaSプラットフォームを挙げた。UNC5814というアクターとの関連が指摘されるこのプラットフォームは、静的なフィッシングテンプレートを用意する代わりに、AI駆動型のページ生成ツールやPuppeteerなどのブラウザ自動化ツールを活用するようになっているという。これにより、Darculaの利用者は模倣対象サイトのURLをDarculaに提供するだけで、当該サイトのクローンを作成可能になっている。

中国を拠点とする犯罪エコシステムは引き続き進化

高度なPaaSプラットフォームが多数流通しており、購入可能な状態となっていること、また脅威アクターがデジタルウォレットの悪用や多要素認証（MFA）の迂回に注力していることは、「中国を拠点とする犯罪エコシステムが進化し続けていることを示している」とGTIGは指摘。こうしたサービスの存在により、「技術的なスキルが限られている脅威アクターであってもフィッシング攻撃を実行できるようになっている」と注意喚起した。

GTIGはまた、効果的な対策の一例として「FIDO2/WebAuthnインフラへの移行」を挙げたほか、防衛側は単なる「検出」ではなく、「被害者の認証情報を技術的に悪用不可能な状態にすること」を目標にする必要があると述べている。