セキュリティ研究機関CTM360が、Telegramの「Mini App」機能を組織的に悪用した詐欺プラットフォーム「FEMITBOT」を発見した。Apple、NVIDIA、Disney、eBayといった世界的ブランドになりすまし、仮想通貨詐欺とAndroidマルウェアを同時展開するこの組織は、再利用可能なインフラを備えた「詐欺のSaaS(Software as a Service)」とも言うべき構造を持っている。プラットフォームの利便性が攻撃の温床になった典型例として、日本のIT現場でも無視できない話題だ。

Telegram Mini Appとは何か

Telegramには「Mini App(ミニアプリ)」と呼ばれる機能があり、Telegreamアプリ内の組み込みブラウザ(WebView)上で動作する軽量なWebアプリケーションを実行できる。決済、アカウント管理、インタラクティブなツールなどをTelegramの外に出ることなく利用できるため、ユーザーの利便性は高い。

しかし、この「アプリから出なくていい」という特性が諸刃の剣になった。通常のブラウザなら気づきやすいフィッシングサイトの違和感が、アプリ内UIに溶け込んでしまうため、ユーザーが「Telegramの一部のサービスを使っている」と誤認しやすい環境が生まれる。

FEMITBOTの攻撃構造

CTM360の報告によると、FEMITBOTは以下のフローで被害者を誘い込む。

  • ボットとの接触: 攻撃者が用意したTelegramボットに被害者が接触し「Start」をタップする
  • Mini Appの起動: ボットがMini Appを起動し、有名ブランドに偽装したフィッシングページをWebView内に表示
  • 偽ダッシュボードで信頼を演出: 「残高」「収益」「ボーナス」などを表示する精巧なダッシュボードと、カウントダウンタイマーによる限定感で心理的プレッシャーをかける
  • 入金要求: 出金しようとすると「入金が必要」または「紹介タスクの完了が必要」と言われ、資金を巻き上げる
  • マルウェアAPKの配布: 一部キャンペーンでは、BBC・NVIDIA・Claro等のブランドになりすましたAndroid APKをダウンロードさせる

特筆すべきは、このプラットフォームが共通バックエンドインフラを採用している点だ。複数のフィッシングドメインが同じAPIを使い回しており、APIレスポンスに含まれる文字列「Welcome to join the FEMITBOT platform」がその証拠として発見された。ブランド・言語・テーマだけを差し替えて異なるキャンペーンを量産できる構造は、まさにサービス型の詐欺基盤だ。

また、Meta(Facebook)やTikTokのトラッキングピクセルを埋め込んでいることも確認されており、詐欺の「コンバージョン最適化」まで行っていることが分かる。マーケティングのノウハウを詐欺に転用している点は寒気がする。

なぜ今、Telegramが狙われるのか

Telegramは世界で9億人以上のユーザーを抱え、プライバシー重視・低規制のプラットフォームとして知られている。運営側による監視や削除が遅いことが、攻撃者にとって活動しやすい環境を提供している。

加えて、Mini AppはWebベースのため開発コストが低く、一度インフラを構築すれば新しい詐欺サイトの量産が容易だ。TLSを正規取得したドメイン上にAPKをホストしているため、「証明書があるから安全」という誤った判断を誘導できる点も巧妙だ。

日本のIT現場への影響と対策

日本でもTelegramのビジネス活用や仮想通貨関連コミュニティでの利用は増えている。組織として以下の点を確認・周知しておく必要がある。

エンドユーザー向け

  • Telegram経由で「投資・仮想通貨・稼げる」系のボットに誘導された場合は即座に疑う
  • Mini Appからダウンロードを促されるAPKファイルは絶対にインストールしない
  • Googleアカウントや金融情報の入力を求められた場合はURLを必ず確認する

IT管理者・セキュリティ担当者向け

  • AndroidデバイスのMDM(モバイルデバイス管理)で「提供元不明アプリ」のインストールをポリシーで禁止する
  • Telegramを業務利用している場合、Mini Appのアクセス許可設定を見直す
  • エンドユーザーへのフィッシング訓練にTelegram経由のシナリオを追加することを検討する
  • ゼロトラスト観点では、業務端末上でのTelegram利用を用途別に分離する(個人利用・業務利用の端末分離)

APKのサイドロード(Google Play以外からのインストール)はAndroidマルウェアの主要な流入経路であり、MDMポリシーで制御できるにもかかわらず設定されていない企業が多い。これはすぐに対処できる実務的な改善点だ。

筆者の見解

今回のFEMITBOTが示したのは、詐欺そのものの「プラットフォーム化」が進んでいるという事実だ。かつての詐欺は個人やグループが手作りで運営するものだったが、今や再利用可能なインフラを持つ「詐欺基盤」が存在し、それを借りるだけで誰でも大規模な詐欺キャンペーンを展開できる時代になっている。

これはフィッシング対策の難易度が根本的に変わったことを意味する。「このドメインをブロックすれば終わり」ではなく、インフラを丸ごと把握しなければ止まらない。CTI(サイバー脅威インテリジェンス)として共通インフラの特徴(APIレスポンスの文字列・証明書のパターン等)を追う重要性が改めて浮き彫りになった。

そしてこの件は、プラットフォームの利便性とセキュリティのトレードオフを改めて考えさせる。「アプリを離れず使える」はユーザー体験として価値があるが、それがそのまま攻撃面(アタックサーフェス)の拡大につながる。Telegramに限らず、LINEやSlackのアプリ内ブラウザも同じリスク構造を持つ。

「禁止すれば解決」という発想は現実的ではない。ユーザーはより便利な手段を常に選ぶ。組織としてできることは、デバイス管理・ポリシー・教育の組み合わせで「安全に使える仕組み」を用意し、攻撃の機会を減らすことだ。今回の攻撃でいえば、MDMによるサイドロード禁止は「明日すぐ設定できる対策」として真っ先に取り組む価値がある。

AIを使ったマーケティング最適化まで組み込んだ詐欺基盤が登場している以上、防御側もAIを活用した異常検知や脅威インテリジェンスの導入を真剣に検討すべき時期に来ている。

出典: この記事は Telegram Mini Apps abused for crypto scams, Android malware delivery の内容をもとに、筆者の見解を加えて独自に執筆したものです。