📊 3行サマリー

  • ベトナムの非営利団体Chong Lua Daoが、カンボジアの詐欺拠点「K99 Triumph City」に監禁されていた人々の救出に関わり、その証拠から偽銀行アプリの拡散網が特定された。
  • このマルウェアは月およそ35個の偽ドメインを新規登録し、2025年だけで400個のおとりサイトが確認され、被害は4大陸21カ国に及ぶ。
  • 日本も「SMS→偽アプリ→顔認証の乗っ取り」という同じ手口にさらされているが、対策の担い手はフィッシング対策協議会など官民組織が中心で、市民団体が人質救出まで踏み込むベトナム型とは構造が違う。

📝 ベトナムの市民団体Chong Lua Dao、詐欺拠点の人質救出から偽銀行アプリ網を特定

ベトナムの非営利団体「Chong Lua Dao(チョン・ルア・ダオ、”詐欺と戦う”の意)」が、カンボジア・シハヌークビルの詐欺拠点「K99 Triumph City」に監禁されていた人々の救出に関わった。脱出した人たちが持ち出したチャットログやスクリーンショットが手がかりとなり、米セキュリティ企業Infobloxとの共同調査で、Android向けの偽銀行アプリ(バンキング型トロイの木馬)の拡散網がこの拠点とつながっていることがわかった。

Chong Lua Daoは、元ハッカーのHieu Minh Ngo氏らベトナムのセキュリティ専門家が立ち上げた団体だ。ブラウザ拡張機能やTelegram・Facebookのコミュニティを通じて怪しいサイトの判定や注意喚起を行い、これまでに1万1千人を超える詐欺被害者を支援してきた。今回の調査では、その活動が「被害者の救出」という現場対応にまで踏み込んでいたことが明らかになった。

📰 Infobloxとの共同調査:月35サイトを量産する「マルウェアの月額サービス」

元ネタ:Scams, Slaves and (Malware-as-a) Service: Tracking a Trojan to Cambodia’s Scam Centers(Infoblox Threat Intel / 2026年5月)

In collaboration with the Vietnamese non-profit Chong Lua Dao, we uncovered an Android banking trojan that is likely operated from multiple locations including the K99 Triumph City compound in Cambodia.

Infobloxの報告書によると、見つかったのは単発の攻撃ツールではなく、複数の犯罪グループへ「サービスとして」貸し出されるMaaS(Malware-as-a-Service、サービス型マルウェア)だった。運用網は月およそ35個のペースで偽ドメインを登録し続け、2025年だけで400個のおとりサイトが確認されている。トロイの木馬本体は少なくとも2023年までさかのぼれる。

注目したいのは、その管理画面の作りだ。「Indonesia Group」「Brazil Group」「Egypt Group」のように標的国ごとにパネルが区切られ、AIチャットボットやディープフェイク音声を組み込むための専用パネルまで用意されていた。詐欺が個人の手仕事ではなく、分業と顧客管理を備えた事業として回っている、ということだ。

🔥 顔認証を裏で乗っ取り、口座を空にする——被害は4大陸21カ国へ

脱出者の証言から、手口の流れも具体的に見えてきた。拠点の作業員はまずVoIP(インターネット電話)ソフトで政府職員を装って電話をかける。その後、会話をメッセージアプリ「Zalo」に移し、リンクやQRコードでおとりページへ誘導する。そこで案内されるのが、23MBの不正なAndroidアプリ(APK)だ。インストールと広い権限の付与を促し、端末が出す警告は無視させる。

もっとも巧妙なのは、資金を抜く最終段階だ。被害者の銀行アプリの上に偽の本人確認(KYC)画面を重ねて表示し、「新しい政府プログラムへの対応に必要だ」と信じ込ませて顔認証をさせる。その顔データを使って、攻撃者は被害者に気づかれないまま背後で銀行口座にログインする。SMSで届くワンタイムパスワードも傍受されるため、口座は事実上まるごと明け渡される形になる。Infobloxは関連インフラの分析から、被害が4大陸21カ国に及ぶと評価している。

見落とせないのは、拠点で働かされていた人たち自身も被害者だという点だ。Chong Lua Daoに救出を求めた人々は、ノルマを達成できないと殴打や電気ショックを受けたと訴えた。同じ地域での同様の事例は国連も記録している。詐欺の「産業化」は、だます側とだまされる側の両方に被害者を生む構造になっている。ここを「巧妙な手口」とだけ書いて済ませるのは、実態を軽く見せすぎだろう。

🇯🇵 日本も同じ手口の標的、対策は官民主導でNPO救出モデルは存在しない

これは日本にとって他人事ではない。「SMSやメッセージで偽サイトへ誘導し、偽アプリを入れさせ、銀行情報を抜く」という流れは、日本で多発しているスミッシング(SMSを使ったフィッシング)とほぼ同じだ。フィッシング対策協議会は金融機関をかたる偽サイトの報告を継続的に公表しており、警察庁も2026年3月にサイバー空間の脅威情勢をまとめている。本人確認に顔認証を使うサービスが日本でも広がるなか、KYC画面を悪用する今回の手口は、そのまま日本のリスクになりうる。

被害者という面でも接点がある。東南アジアの詐欺拠点では、高収入の仕事と偽って勧誘された日本人が強制労働させられる事例が2025年に相次いで報じられ、現地から救出された日本人もいた。閉じ込められる側にも、だまされる側にも、日本人は含まれている。

ただし、対策の「担い手」は日本とベトナムで違う。日本ではフィッシング対策協議会や日本サイバー犯罪対策センター(JC3)といった、業界団体や官民連携の組織が中心だ。一方ベトナムのChong Lua Daoは、市民が立ち上げた非営利団体でありながら、偽サイトのブロックやマルウェア解析にとどまらず、海外拠点からの人質救出という現場対応まで担っている。この差は「ベトナムの市民社会が強い」という話だけでは説明しきれない。被害者の救出を一民間団体が背負う状況は、公的機関の対応力が追いついていない裏返しでもあるからだ。日本が学ぶべきは「市民団体に任せきりにする」ことではなく、だまされた人や拠点に閉じ込められた人を、官民のどこが引き受けるのかを先に決めておくことだろう。

🏁 詐欺の産業化に、現場の被害者救出で挑むベトナムの異質さ

今回の調査が示したのは、二つの構造だ。一つは、詐欺がMaaSと国別管理パネルを備えた「産業」になっていること。もう一つは、その産業の正体に最初に手をかけたのが、政府機関ではなく市民の非営利団体と一民間企業だったことだ。技術的な備えとして個人ができるのは、SMSやメッセージのリンクからアプリを入れない、本人確認画面で顔認証を求められたら一度立ち止まる、という基本の徹底に尽きる。同時に、だまされた人や拠点に閉じ込められた人を誰が助けるのかという問いは、日本でも宙に浮いたままだ。ベトナムの事例は、その問いを先に突きつけている。