GoogleがGemini AIを悪用した「Outsider Enterprise」を提訴 ── 3.8億円超のカード情報が狙われた巧妙な手口

2026年6月12日、Googleはニューヨーク州南部地区連邦地方裁判所に、画期的な民事訴訟を提起しました。その相手は、「Outsider Enterprise」と呼ばれる中国拠点のサイバー犯罪ネットワークです。彼らは、Googleの生成AI「Gemini」を悪用し、「サービスとしてのフィッシング（PhaaS）」と呼ばれる大規模な詐欺事業を展開していたとされています。この事件による被害総額は推定19億ドル（約2800億円）、2023年7月以降、世界95カ国で387万件のクレジットカード情報が流出したと見られています 。

訴訟と同時に、FBI、Google、そして通信大手のLumen Technologiesは共同で「オペレーション・ゴーストフック」と名付けられた作戦を実行し、同組織のサーバーや暗号資産の決済用ウォレットを押収しました 。これは、AI技術そのものの悪用を正面から問う、初めての司法アクションです。

「Outsider Enterprise」とは何者か

彼らは単なるハッカー集団ではありません。その実態は、サイバー犯罪の「フランチャイズ」 とも呼ぶべきものでした。Outsider Enterpriseは「PhaaS」のプラットフォームを運営し、より下位の犯罪者たちに、すぐに使える攻撃ツールキットを販売していたのです 。

その中核商品は、Telegram上で動作するボットです。購入者は週額88ドル（約1万3000円）や月額約200ドル（約3万円） を支払うだけで、本物そっくりの偽ウェブサイトを自動生成し、大量の詐欺SMS（スミッシング）を送信することができました 。技術的な知識は一切不要。まるで正規のソフトウェアを利用するかのように、誰でも大規模な詐欺を働くことが可能だったのです。

Gemini AIはどのように悪用されたか

彼らはGoogleのGeminiを、主に二つの重要な方法で悪用していました。

• 偽サイトの自動生成：このツールキットは、銀行や配送サービス（FedEx、USPSなど）、高速道路の料金所、そしてGoogleブランドのログイン画面などを精巧に模倣したフィッシングページのHTMLコードを、Geminiを使って自動生成していました 。AIが見事なまでに本物そっくりの偽サイトを、規模の制限なく生み出していたのです。
• 安全フィルターの回避：彼らはGeminiの悪用防止フィルターを、要求の見せかけ方を工夫することで回避していました。例えば、「フィッシングサイトを作って」と直接指示するのではなく、「荷物配達のお知らせ用のHTMLページを作成して」といった無害な作業に見せかけてAIに指示を出していたのです 。この手口を、運営者は購入者向けにチュートリアル動画で指導していました。

このAIによる自動化により、彼らは詐欺の技術的ハードルを極限まで下げ、手作業だった犯罪を産業規模のオペレーションへと変貌させました。Googleの訴状によれば、このネットワークは100万以上の偽ウェブサイトを展開し、米国内の携帯電話ユーザーだけでも200万件以上の詐欺SMSを送信したとされています 。

訴状が明らかにする、企業のような組織構造

訴訟や関連する調査からは、洗練された、まるで「企業」のような組織構造が浮かび上がります。Outsider Enterpriseは、少なくとも5つの専門部門に分かれていました 。

部門	役割
開発者	PhaaSツールキットとGemini連携コードの構築・保守
データブローカー	被害者から盗んだ認証情報や個人データの調達・販売
スパマー（SMS送信者）	SMS大量送信インフラの運用（乗っ取った送信者IDや偽装IDを使用）
窃取・詐欺実行犯	盗まれたクレジットカードやログイン情報の抜き取りと収益化を担当
Telegram調整役	顧客向けボットの運営、暗号資産での決済処理、購入者へのカスタマーサポート

このような分業体制とAIによる自動化の組み合わせが、Outsider Enterpriseを伝統的な犯罪組織ではなく、まるで正規のSaaS企業のような規模と効率で活動させることを可能にしていました 。

この事件が示す、AI詐欺のより広範な影響

• 「民主化」されるサイバー犯罪：AIを安価で使いやすいツールに組み込むことで、Outsider Enterpriseは、プログラミングスキルのない個人でも高度なフィッシング詐欺を実行できるようにしました。これは、標的型ハッキングから、AIで強化された「コモディティ化した詐欺サービス」 への移行を意味します 。
• 初めての法的挑戦：これは、Googleが自社の生成AI製品の悪用を直接の理由として起こした、初めての訴訟です 。ハイテク企業が、技術的なブロックだけでなく、訴訟によって犯罪のサプライチェーンそのものを断ち切るという、新たな段階に入ったことを示しています。
• 新たな官民連携の執行モデル：Googleは、FBI、AT&T、T-Mobile、Verizon、Lumen Technologiesと協力しました。これは、AIを利用した詐欺の摘発には、AIプロバイダー、通信事業者、法執行機関が一体となった連携行動が不可欠であることを示しています 。
• 法規制の「空白地帯」：Googleはこの訴訟を利用し、生成AIを詐欺に悪用する行為を明確に犯罪化するなど、AI特有の悪用に対処するための法整備を呼びかけました。現行法では、この新たな手口を十分にカバーできない可能性があるためです 。

重要な注意点：この訴訟は民事訴訟であり、刑事事件での有罪判決ではありません。Outsider Enterpriseに対する疑惑はまだ法廷で証明されておらず、組織の運営者も個人名では特定されていません。訴状にある19億ドルの被害額と387万件のクレジットカード情報漏洩は、あくまでFBIの推定であり、最終的な司法判断による確定数字ではないことをご了承ください 。