AIが犯罪を助長：PhaaS「Darcula-Suite」登場でフィッシングが身近に

イギリスのインターネットセキュリティ企業Netcraftは、2025年4月24日（現地時間）、フィッシング・アズ・ア・サービス（PhaaS）プラットフォーム「Darcula」の新バージョン「Darcula-Suite（ドラキュラスイート）」が生成AIを活用し、フィッシング攻撃を驚くほど容易にしたと発表した。

このツールはダークウェブやTelegramを通じて犯罪者に提供され、技術的知識がなくても高度なフィッシングサイトを迅速に構築する。サイバー犯罪の脅威がさらに身近なものとなり、誰もが標的になり得る時代が到来している。

本記事は、Darcula-Suiteの概要を共有するとともに、個人・企業が実施すべき対策を伝える。

参考：AI-Enabled Darcula-Suite Makes Phishing Kits More Accessible, Easier to Deploy

非合法なフィッシング・アズ・ア・サービス（PhaaS）とは

フィッシング・アズ・ア・サービス（PhaaS）は、サイバー犯罪者がフィッシング攻撃を簡便に実行できる非合法のサービスだ。従来、偽のウェブサイト作成やマルウェア配布には専門知識が必要だったが、PhaaSはこれらをサブスクリプションベースで提供する。

攻撃者は、ブランドを模倣したフィッシングページや管理ツールにアクセスでき、技術的ハードルを大幅に下げる。Darculaは、20,000以上のフィッシングドメインを活用し、100カ国以上のブランドを標的にするPhaaSの代表例として知られている。

Darcula-Suiteのリリース内容と拡散状況

Netcraftの発表によると、Darcula-Suiteは生成AIを統合し、フィッシングキットの作成を自動化・簡素化した。主な特徴は以下の通りだ。

多言語対応のフォーム生成：住所収集フォームなどを任意の言語で生成。
カスタマイズ性：郵便番号やメールアドレスなどのフォームフィールドを簡単に追加・調整。
自動翻訳：フィッシングページ全体を迅速にローカル言語に翻訳。
迅速な展開：数分でカスタマイズされたフィッシングサイトを構築可能。

さらに、Darcula-SuiteはダークウェブやTelegramチャンネルを通じて配布されている。2025年2月時点でベータ版として一部の犯罪者にテスト提供され、コンテナイメージのプル数が急増。

たとえば、APIイメージは100%以上、ウェブイメージは50%以上増加した。公式リリースは2月末に予定されていたが、開発者の発表では一時延期の可能性がある。価格は非公開だが、従来のDarcula V2では月額249ドルから500ドルだった。

ツールはDocker、React、Node.jsといった最新技術を活用し、Puppeteerでウェブサイトをクローン。「.cat-page」形式でパッケージ化されたフィッシングサイトは、リアルタイムのデータ窃取やパフォーマンス監視を可能にする。この洗練されたインフラは、まるで合法なSaaS企業を彷彿とさせるが、その目的は犯罪に特化しており、許されるものではない。

Darcula-Suiteは犯罪目的以外に利用されるのか？

Darcula-Suiteはサイバー犯罪専用に設計されており、合法的な用途は一切確認されていない。

Netcraftの調査では、Smishing Triadと呼ばれる犯罪集団が運営に関与し、SMSベースのフィッシング（スミッシング）攻撃をグローバルに展開。クレジットカード情報や認証情報の窃取に特化しており、倫理的なウェブ開発やペネトレーションテストでの利用は想定されていない。

類似技術（例：Puppeteer）は合法な用途で使われるが、Darcula-Suiteは犯罪インフラとして機能し、アクセスはダークウェブや招待制のTelegramチャンネルに限定されている。

企業が行うべき、フィッシングサイト対策

Netcraftは、2024年3月以降、Darcula関連の25,000以上の偽サイトを削除し、90,000以上のフィッシングドメインを検出したが、AI強化により検出が難しくなっている。

企業や個人は、セキュリティ教育を強化する必要がある。フィッシング被害を防ぐために、以下の対策を必読してほしい。

1. 不審なリンクをクリックしない

フィッシング攻撃の多くは、メール、SMS、RCS、iMessage、ソーシャルメディア経由で届く不審なリンクから始まる。以下の点に注意する事が重要だ。

知らない送信者を疑う：見覚えのない送信者や、公式を装った不自然なメッセージは無視。
リンクを直接確認：リンクにカーソルを合わせてURLを確認（例：amazon.comではなくamaz0n.comは偽物）。疑わしい場合はクリックせず、公式サイトに直接アクセス。
RCSやSMSに警戒：ブランドがRCSグループやSMSでリンクを送ることは稀。特に「緊急」「アカウント凍結」といった文言は危険信号。

例: Darcula-Suiteは、SMS経由で偽のブランド通知を送り、ユーザーを偽サイトに誘導。2024年3月以降、25,000以上の関連サイトがNetcraftにより削除された。

2. メッセージやオファーの真偽を検証

フィッシングサイトは、ユーザーの感情を操るメッセージで誘導する。以下の特徴に当てはまるサイトには十分注意する必要がある。

緊急性を煽る内容：「アカウントがロックされます」「今すぐ確認が必要」はフィッシングの典型。
「良すぎる」オファー：無料ギフトや大幅割引を謳うメッセージは疑う。
公式チャネルで確認：不審な通知を受けた場合、公式ウェブサイトやカスタマーサポートに直接問い合わせ。
公式メールアドレス、電話番号を登録： 頻繁に利用するサービスの場合、公式のメールアドレス（例：support@brand.com）や電話番号をブックマークしておく。

3. ウェブサイトの信頼性をチェック

フィッシングサイトは、正規サイトと見分けがつかないほど精巧だ。サイトデザインではなく、以下の点に着目してほしい。

URLを精査：正しいドメインか確認（例：paypal.comではなくpaypa1.comは偽物）。「https://」があっても安全とは限らない。
ドメインの詳細を調査：Whoisサービス（例：whois.domaintools.com）でドメインの登録日や所有者を確認。新規登録のドメインは要注意。
ニッチなサイトに警戒：中小企業や地域ブランドを模倣したサイトは、AI生成ツールで簡単に作られるため特に危険。