偽SMSを大量にばらまくサイバー犯罪ネットワークを、Googleが法廷に引きずり出しました。狙われたのは、皮肉にも同社自身のAI「Gemini」。月3万円ほどのツールで誰もが詐欺サイトを作れる時代に、巨大プラットフォームはどう反撃するのか。その全貌を追います。
Googleは2026年6月12日、AIを悪用するサイバー犯罪ネットワーク「Outsider Enterprise」の解体に向け民事訴訟を提起したと発表しました。同ネットワークは中国を拠点とし、Telegramを通じて連携、Googleなど信頼されるブランドを装う偽SMSを送る「フィッシングキット」を配布していたとされます。
被害者は数十万人、被害額は数百万ドル規模と推計されます。関連する偽ウェブサイトは9,000件、不正URLは100万件以上。2026年5月の2週間にAndroid利用者から55,000件のスパムが報告され、同期間に同ネットワークが送信したメッセージは250万件にのぼりました。GoogleはFBIと連携し、AT&T、T-Mobile、Verizonと協力してSMSを遮断します。
あわせて超党派7法案の成立を働きかけます。製品面ではAndroidのスキャム検知や、月間100億件超の悪意あるメッセージを遮断する機能を用います。筆者はゼネラルカウンセルのハリマ・デレイン・プラドです。
From: 
How we’re combatting AI scams with security, legislation and more
【編集部解説】
まず押さえておきたいのは、この訴訟が「AIが人のスマートフォンに侵入した」という話ではないことです。Googleの主張は、フィッシングコンテンツの量産を助けるためにAIが使われたとみられる、という点にあります。つまり、攻撃の入り口は依然として「人をだます偽SMS」であり、AIはその制作工程を高速化・大量化する裏方として機能していました。守るべき急所が技術の奥ではなく、私たちの指先のタップにあることを、まず確認しておきたいと思います。
注目すべきは、犯罪の「道具化」がどこまで進んでいたかです。TechCrunchが入手した訴状によれば、「Outsider」と呼ばれるソフトは週88ドル、または月200ドルで提供される「初心者向けフィッシング」ツールで、GoogleのGeminiを含むAIプラットフォームの助けを借りて偽サイトを作成できるとされます。日本円にすればおおよそ週1万3000円、月3万円程度(1ドル=150円換算)。サブスクリプション型の犯罪サービスという構図は、私たちが日々使うSaaSの暗い鏡像と言えるでしょう。
規模を示す数字も、Google公式ブログより訴状のほうが踏み込んでいます。同プラットフォームは290以上のテンプレートで本物そっくりのサイトを数分で生成し、犯罪者は95カ国の金融機関が発行した少なくとも3万6000枚の決済カードを盗んだとされます。さらにFBIの広報がTechCrunchに語ったところでは、2023年7月以降、このプラットフォームを通じて推定387万枚のクレジットカードが盗まれ、被害額は推定19億ドルに達するとのことです。日本円では約2850億円規模(同換算)。Google公式が控えめに「数百万ドル」と記す一方、捜査側はけた違いの数字を示しています。同じ事件でも、企業の公式発表だけを読むのと、訴状や捜査当局の見立てまで追うのとでは、見える輪郭がまるで変わってくる——この温度差そのものが、情報を扱う私たちへの教訓だと感じます。
技術史の文脈で見ると、これはGoogleにとって初の試みを含みます。この訴訟は、Outsider Enterpriseが自社のGeminiを悪用して詐欺を自動化・拡大し、利用規約とコンピュータ詐欺法に違反したと訴えるもので、複数の報道はGoogleが自社AIの悪用を問う初の訴訟だと位置づけています。AIを作る側の企業が、自社AIを使われた被害者として法廷に立つ。この「作り手の責任」をめぐる構図は、今後あらゆる生成AI事業者が直面する論点を先取りしています。
実務面でも、防御は複数の主体で組まれていました。FBIの広報はTechCrunchに対し、同局がGoogleおよびLumenのBlack Lotus Labsと連携し、犯罪者が使っていた複数のドメインや、フィッシングサービスのテスト用に使われたShopifyのストアフロントとアカウントを押収したと述べています。つまり、表に出た「Google・FBI・通信3社」の枠組みの裏側で、セキュリティ専門の研究組織や決済プラットフォームの協力も動いていたわけです。脅威が網の目状である以上、防御もまた網の目状でなければ追いつかない、という現実がここに表れています。
これがGoogleにとって唐突な一手でない点も見落とせません。これは7カ月間で2件目の、中国を拠点とするSMS詐欺への大きな法的措置であり、2025年11月には「Lighthouse」と呼ぶ「サービス型フィッシング」を運営する集団に対してRICO法に基づく訴訟を起こしているとされます。プラットフォーマーが捜査機関と通信事業者を束ね、民事訴訟という手段で犯罪インフラそのものを差し止めにいく。この「官民連携の型」が定着しつつあることのほうが、個別の摘発より長期的な意味を持つように私には思えます。
ただし、冷静に見るべき限界もあります。Googleの仮処分命令の申し立てに対する裁判所の判断は、Outsider Enterpriseの運営者やAI利用についての事実認定が下される前の段階にあります。法的にはまだ「申し立て」の局面であり、実態解明はこれからです。加えて、被告の多くは身元不明の海外在住者とされ、過去の同種訴訟と同様、実際に米国の法廷に立つ可能性は高くありません。インフラ遮断には効いても、犯人の処罰に直結しにくいという構造的なジレンマは残ります。
では、日本に住む私たちは何を読み取るべきでしょうか。今回の舞台は米国とAndroid利用者ですが、フィッシングキットに国境はありません。月3万円で誰でも「数分で」偽サイトを量産できる時代に入ったということは、日本語をかたる偽SMS(スミッシング)の精度と物量も、同じ曲線で増えていくと考えるのが自然です。「AIが作った文章だから不自然なはず」という前提は、もはや安全の根拠になりません。
希望が持てるのは、防御側もまた同じAIで武装し始めていることです。Googleは「AIを悪用した詐欺と闘うためにAIを活用したツール」を使い、不審な通話やメッセージを検知して、月間100億件超の詐欺メッセージを遮断していると説明します。攻撃の自動化と防御の自動化が同時に立ち上がる——この軍拡競争の構図こそ、いま私たちが立っている地点です。次の章では、その最前線で私たちが具体的に何をできるのかを補足します。
【用語解説】
Outsider Enterprise(アウトサイダー・エンタープライズ)
Googleが今回の民事訴訟で標的とした、中国を拠点とするとされるサイバー犯罪ネットワークの呼称である。フィッシングツールを他の犯罪者に販売・提供する「裏方」の供給網であり、単一の犯人グループというより複数の役割集団の連合体とされる。
フィッシングキット
偽サイトの作成、標的リストの提供、SMS一斉送信、盗んだ情報の現金化までを一式で行えるツールパッケージ。技術力がなくても詐欺を実行できるよう設計されており、今回のケースでは「Outsider」というサブスクリプション型ソフトとして提供されていた。
スミッシング(smishing)
SMS(ショートメッセージ)とフィッシングを組み合わせた造語。配送通知や銀行の警告などを装ったSMSでリンクを踏ませ、偽サイトで認証情報やカード番号を入力させる手口を指す。
RICO法
米国の「組織犯罪対策法(Racketeer Influenced and Corrupt Organizations Act)」の通称。本来はマフィアなどの組織犯罪を解体するための法律で、Googleが2025年11月の別件訴訟で根拠としたことで知られる。
Black Lotus Labs
米通信大手Lumenが擁する脅威リサーチ部門の名称である。今回、FBIによるドメインやアカウント押収に技術面で関与したとされ、官民連携の「技術の担い手」にあたる。
【参考リンク】
Google The Keyword(公式ブログ)(外部)
Googleが製品・技術・安全への取り組みを自社で発信する公式ブログ。今回の訴訟に関する一次情報の発信元である。
Google セーフティセンター(詐欺・不正対策)(外部)
Googleが提供する利用者向けの安全対策ハブ。AndroidやPhone by Googleによるスキャム検知など、防御機能の解説がまとまっている。
Gemini(Google のAIサービス)(外部)
今回の訴訟で悪用されたとされるGoogleの生成AI。本来はテキスト生成やコーディング支援などに用いる対話型AIサービスである。
FBI(米連邦捜査局)公式サイト(外部)
今回の法執行措置でGoogleと連携した米国の捜査機関。サイバー部門が本件の中心的役割を担っている。
Lumen Technologies(公式サイト)(外部)
脅威リサーチ部門Black Lotus Labsを擁する米通信大手。今回のドメイン押収で技術的な役割を担ったとされる。
Shopify(公式サイト)(外部)
今回、犯罪者がフィッシングサービスのテストに悪用したとされるストアフロントの一部が押収された、ECプラットフォーム大手である。
【参考動画】
本件で言及されたAndroidの「スキャム検知」機能について、報道機関CBS Newsがテックレポーターを招いて解説した動画である。機能の概要を映像で理解したい読者向けの一本だ。
【参考記事】
Chinese cybercrime operation that used AI to scam ‘hundreds of thousands of victims’ sued by Google(TechCrunch)(外部)
訴状の中身に最も踏み込んだ記事。「Outsider」が週88ドル・月200ドルで提供され、290以上のテンプレートで数分で偽サイトを生成、95カ国で少なくとも3万6000枚のカードが盗まれたこと、FBI広報が示した「2023年7月以降、推定387万枚のカード窃取・被害額推定19億ドル」を伝える。
Google fires sueball at alleged Chinese phishers over AI-powered fraud ops(The Register)(外部)
AIが端末に侵入しているのではなく、フィッシングコンテンツの量産に使われたという本件の構造を明確に整理。偽サイトや不正URL、スパム報告と検知件数の数字も確認できる解説記事である。
Google sues scam ring that used Gemini AI to build fraud sites(TNW)(外部)
本件がBloombergによって最初に報じられたこと、これがGoogleにとって7カ月で2件目の対中SMS詐欺訴訟であり、2025年11月の「Lighthouse」へのRICO訴訟に続くものだと位置づけている点が重要である。
Google Sues Chinese Group That Used Gemini AI For Automated Scams(iTechPost)(外部)
訴訟がGeminiの悪用による利用規約違反・コンピュータ詐欺法違反を問うものであること、将来の同種ネットワークを抑止する法的先例の確立を狙っている点を解説している。
【関連記事】
Android、AIで偽装した「家族の声」の通話を検出――業界初のフェイク通話検出機能がグローバル展開
同じくGoogleのAIによる詐欺対策だが、対象は音声通話のディープフェイク検出。SMSと訴訟が主題の本記事とは防御のレイヤーが異なる。
偽Geminiチャットボットが架空の「Google Coin」を販売、AIが詐欺の”営業担当”になる時代
Geminiのブランドが悪用された点で近いが、こちらは「Geminiを騙る偽物」の話。本物のGeminiが偽サイト生成に使われた本件とは構造が逆である。
Meta、中国からの詐欺広告で年間30億ドル超の収益──取締りチーム解散の衝撃
中国拠点の詐欺・巨額被害という共通項を持つが、舞台はMetaの広告と責任。Google自身が原告となる本件とは対照的な構図だ。
【編集部後記】
正直に言うと、私のスマホにも「不在のお届け物があります」というSMSが、今でもときどき届きます。リンクを開く前に一拍おけるかどうか——その一拍を作るのは、案外むずかしいものですよね。今回の件で私がいちばん引っかかったのは、被害額が「数百万ドル」とも「19億ドル」とも報じられている、その振れ幅でした。どちらが嘘というわけではなく、誰の視点から見た数字かで景色が変わる。情報の窓口に立つ者として、私もこの幅ごと読者のみなさんへお渡ししたいと思いました。
みなさんは、あやしいメッセージをどこで見分けていますか。「この日本語、ちょっと変だぞ」というセンサーが効きにくくなっていく時代に、私たちはどんな新しい勘どころを育てていけるのか。よければ、みなさんの工夫も聞かせてください。
