米連邦捜査局（FBI）とインドネシア当局が合同捜査を実施し、約2000万ドル（日本円で約30億円）規模の組織的なハッキング詐欺グループを初めて摘発した。本件は米国とインドネシアによる初の共同ハッキングプラットフォーム解体作戦となり、インドネシアで開発者とされる主要人物を拘束。ジョージア州北部地区連邦検事局が捜査を支援した。

W3LLフィッシングネットワークの仕組み

W3LLフィッシングキットは、犯罪者が正規のウェブサイトに酷似した偽のログインページを作成することを可能にした。攻撃者は約500ドルで、W3LLSTOREというアンダーグラウンドマーケットを通じてアクセス権を購入した。

推計で脅威アクター約500人がこのツールを積極的に使用し、プラットフォームは組織化されたサイバー犯罪オペレーションとなっていた。ただし、最大の脅威はアドバーサリー・イン・ザ・ミドル攻撃の手口であった。

CASE UPDATE from @FBIAtlanta: FBI, Indonesian Authorities Take Down Global Phishing Network Behind Millions in Fraud Attempts

In a first-of-its-kind joint cyber investigation, the #FBI Atlanta Field Office and Indonesian law enforcement authorities have dismantled a… pic.twitter.com/Ewtu0ptsHd

ハッカーは、リアルタイムでログインセッションを傍受し、パスワードとあわせて認証トークンも取得していた。多要素認証が設定されたアカウントでさえ侵害された。

2019年から2023年にかけて、W3LLSTOREは2万5000件以上の盗まれた認証情報の販売に関与した。マーケットが閉鎖された後、運営者は暗号化メッセージアプリへと移行し、リブランディングしたツールの配布を継続した。

2023年から2024年にかけて、同キットは全世界で1万7000人超の被害者を標的とした。

米・インドネシア安全保障関係の深化

FBIの作戦は、両国間の広範な安全保障連携の動きと重なる。4月13日、両国は主要防衛協力パートナーシップを発表した。

JUST IN – U.S. announces a defense partnership with Indonesia. pic.twitter.com/hq2CQNVlaa

この枠組みは、インド太平洋地域全体での軍の近代化、専門教育、共同演習を包含する。

一方で、フィッシングはデジタル資産保有者にとって依然として深刻な脅威だ。仮想通貨投資家は、2026年1月だけでフィッシングにより3億ドル超の損失を被った。

W3LL事件は、フィッシング・アズ・ア・サービス型プラットフォームが、世界中で詐欺事業を拡大し続けている現状を浮き彫りにしている。