FBIアトランタ支局とインドネシア国家警察は、W3LLフィッシングネットワークを摘発した。関係当局は、2000万ドル超の詐欺未遂に関与した主要インフラを押収した。
この合同作戦は、米国とインドネシアによるハッキングプラットフォームの摘発としては初となる。関係当局はインドネシアで開発者とされる人物も拘束した。本件はジョージア州北部地区連邦検事局が支援した。
W3LLフィッシングネットワークの仕組み
W3LLフィッシングキットは、犯罪者が正規のウェブサイトに酷似した偽のログインページを作成することを可能にした。攻撃者は約500ドルで、W3LLSTOREというアンダーグラウンドマーケットを通じてアクセス権を購入した。
推計で脅威アクター約500人がこのツールを積極的に使用し、プラットフォームは組織化されたサイバー犯罪オペレーションとなっていた。ただし、最大の脅威はアドバーサリー・イン・ザ・ミドル攻撃の手口であった。
ハッカーは、リアルタイムでログインセッションを傍受し、パスワードとあわせて認証トークンも取得していた。多要素認証が設定されたアカウントでさえ侵害された。
2019年から2023年にかけて、W3LLSTOREは2万5000件以上の盗まれた認証情報の販売に関与した。マーケットが閉鎖された後、運営者は暗号化メッセージアプリへと移行し、リブランディングしたツールの配布を継続した。
2023年から2024年にかけて、同キットは全世界で1万7000人超の被害者を標的とした。
米・インドネシア安全保障関係の深化
FBIの作戦は、両国間の広範な安全保障連携の動きと重なる。4月13日、両国は主要防衛協力パートナーシップを発表した。
この枠組みは、インド太平洋地域全体での軍の近代化、専門教育、共同演習を包含する。
一方で、フィッシングはデジタル資産保有者にとって依然として深刻な脅威だ。暗号資産投資家は、2026年1月だけでフィッシングにより3億ドル超の損失を被った。
W3LL事件は、フィッシング・アズ・ア・サービス型プラットフォームが、世界中で詐欺事業を拡大し続けている現状を浮き彫りにしている。
