📊 3行サマリー

  • Okta脅威インテリジェンスとキプロス大学が共同で炙り出したベトナム発の偽アカウント供給網「O-UNC-036」が、CMSNT.co系30以上のサイトに支えられた「サイバー犯罪as-a-service」エコシステムとして稼働中。
  • マーケットプレイス「Via17.com」では、2要素認証付きで友達10〜50人を抱えるベトナム籍Facebookアカウントが1,000以上の在庫で並び、価格は1個55,240ベトナムドン(約2.13ドル)。使い捨てメール「mailclone.site」「temp-mail.io」を組み合わせれば、認証突破コストはほぼゼロ。
  • この供給網が支えるSMS課金詐欺(IRSF)はGSMA推計で年間数十億ドル規模、未対策のOTP事業者ではOTPトラフィックの5〜15%が不正に達し、SMS送信費が日本企業の損益計算書に直撃する。

📝 Oktaが特定したベトナム発「偽アカウント工場」がSMS課金詐欺(IRSF)を世界に供給する構造

Oktaの脅威インテリジェンス部門とキプロス大学の研究チームが、ベトナムを拠点に偽アカウントを大量生産する犯罪エコシステムを共同で炙り出した。中核にいるのは、内部呼称「O-UNC-036」と名づけられた使い捨てメール経由のサインアップ用インフラ群だ。攻撃者はこの仕組みでサービス提供者のサインアップ画面に向けてボットで「人形(puppet)」アカウントを大量に登録し、登録時に送られるSMSをプレミアムレート番号で受け取って通話料金を分配する。SMS送信1件あたりの課金が事業者から通信会社、そして詐欺グループへ流れていく構図は、業界では「IRSF(International Revenue Sharing Fraud)」と呼ばれる古典的な手口。新しいのはここからで、ベトナム側に「フランチャイズ化された供給拠点」が出来上がったことで、参入障壁が一気に下がった。

📰 Okta脅威インテリジェンス:O-UNC-036を起点にCMSNT.co系30以上のサイトに依拠

元ネタVietnam-based cybercrime markets enable account sign-ups at scale(Okta Threat Intelligence、Mathew Woodyard氏 著/GBHackers転載は2026年3月9日付)

Okta Threat Intelligence and our partners observed links from O-UNC-036 to dozens of websites that cater to individuals who want to conduct online fraud.

調査チームはO-UNC-036が依存する使い捨てメールドメイン群を入り口に追跡し、ベトナム拠点の制作会社「CMSNT.co」が販売するサイトテンプレート群へとたどり着いた。CMSNT.coは「MMO(Make Money Online)」と呼ばれる副業エコシステム向けに、デジタルアカウント販売・SNSブースト・電話ファーム支援・住宅プロキシ・アンチディテクトブラウザといった、不正利用に転用しやすいテンプレートを30種以上配布する制作会社。Microsoftが2023年12月に提訴した「Storm 1152」(Outlook/Hotmail偽アカウントを7億5,000万件販売、2024年7月に再提訴)と同系統の構造が、組織を変えてベトナム発で再発したかたちだ。

🔥 1個2.13ドル・2FA付きFacebookアカウントを「使い捨てメール」と組み合わせて量産

調査が示した代表的なマーケットが「Via17.com」で、サイト自身が「Facebookアカウント提供の信頼度No.1」を自称する。商品ラインナップで目立つのが、ベトナム籍で友達10〜50人を抱え、2要素認証まで有効化済みのFacebookアカウントだ。在庫1,000個以上、単価55,240ベトナムドン(約2.13ドル)。さらに2006年まで遡る「ヴィンテージ」アカウントや、ソフトウェア生成の「クローン」アカウントも陳列され、ユーザーIDとパスワードに加えて、復旧用メールアドレス・2FA通知・セッショントークン(クッキー)まで一式で渡される。仕上げに使われるのが使い捨てメールサービス「mailclone.site」と「temp-mail.io」で、Via17.comはこれら以外にも11種類の使い捨てメールサービスを推奨。10分〜1時間だけ有効な受信箱で認証コードだけ拾えば、検証メールはそのまま捨てられる。同じCMSNT.co系のコードを利用するnladsgiare.shopなども含めて、CaaSの「店舗群」が分業で回っているのが今回の特徴。

🇯🇵 日本のSMS-OTP事業者は5〜15%が詐欺トラフィック——「成功時課金」モデルの構造的脆弱性

日本国内では、銀行・キャリア決済・ECモール・サブスクサービスのほぼすべてが、本人確認や2要素認証にSMSワンタイムパスワード(OTP)を組み込んでいる。ところがSMS送信は通信会社からの「成功時課金」モデルで提供されるため、ボットが大量にサインアップを試みた瞬間に通信料が膨らみ、その実費を日本企業が負担する構図になる。Sardine.aiやMessage Centralの2026年レポートによれば、未対策のOTP送信フローではOTPトラフィックの5〜15%が不正で、ある事業者では数週間で1万〜10万ドル規模の課金被害が積み上がった事例もあるという。GSMAも世界全体での被害規模を年間数十億ドル単位と見積もる。日本のキャリアフリーでSMS送信を行うCPaaSベンダー(Twilio・Vonage日本法人など)の利用企業ほど、今回の供給網が直撃する可能性が高い。「2ドル台で買える2FA付き偽FB+使い捨てメール」という供給は、攻撃者側のコストをほぼゼロに圧縮するため、防御側のSMSコストだけが膨張し続ける。

🏁 ベトナム発の供給と日本側の認証コスト爆発、業界連携と認証手段見直しが急務

Microsoftが2023年にStorm 1152を提訴した時点で、CaaSの法的解体は一巡したと見られていた——しかし今回の発見が示すのは、組織が変わってもベトナム拠点の「テンプレート×使い捨てメール×SNS再販」という3要素の組み合わせは生き残るという事実、そしてその受益者が世界中に分散した個人犯罪者であるという現実だ。日本企業に求められるのは、サインアップ前のbot検知・SMS送信先の国別レート制限・国際プレミアム番号への遮断ルール・パスワードレス認証(パスキー、メールマジックリンク)への切り替えなど、SMS-OTPに依存しない多層防御。供給側のベトナム当局やCMSNT.co系の取り締まりだけでは追いつかない以上、需要側である日本のサービス事業者が「攻撃者にとっての採算ライン」を引き上げる作業を急ぐしかない。