仮想通貨求める恐喝スパムが横行 NISCが注意喚起

【この記事はIT系ライター M氏 が書きました】

「アダルトサイトを閲覧しているあなたの姿をウェブカメラで撮影した。」
「家族や同僚にばらまかれたくなければ仮想通貨で金銭を支払え」
と脅迫してくるスパムについて、内閣サイバーセキュリティセンター(NISC)と情報処理推進機構(IPA)が注意を呼びかけています。

IPAがこの相談を初めて受けたのは2018年の3月、再度相談が寄せられたのは7月でした。相談件数は7月で17件、8月で13件、9月には263件と相談数が大幅に増加しました。

卑劣なサイバー犯罪「セクストーション」とは?

近年、相手の性的な写真や動画を入手しインターネットで公開したり、友人や知人に見せたりするなどと、脅迫する行為である「セクストーション」が問題になっています。

セクストーション「sex(性的な)」と「extoetion(脅迫)」とを組み合わせた造語です。SNSのやり取りや相手のパソコンのウェブカメラを不正アクセスにより遠隔操作して撮影するなどの手口が存在します。海外だけでなく日本国内でも逮捕者がでるなど拡大を見せています。今回の脅迫メールもセクストーションの1種と言えます。

今回問題になった脅迫メールの特徴

1. 不自然な日本語
8月までに確認された脅迫メールの文面は全てが英語で記載されていましたが、9月19日以降は日本語で書かれたメールについての相談が寄せられるようになりました。
ただしその日本語は不自然なものでおそらく英文を翻訳サイト等の機械翻訳にかけたものだと考えられています。

2. 本来あるべき映像へのURLリンクや画像の添付がない。
脅迫に説得力を持たせるのであれば実際に撮影した映像や写真を添付した方が より効果的なのは言うまでもありませんが、今回の脅迫メールにはそういったものは含まれていませんでした。 

3. 脅迫メールに自分のパスワードが記載されている場合がある。
「これがあなたのパスワードであることを知っている」と説明しながら、受信者が実際に各種ウェブサービスで設定したことのあるパスワードがメールの件名や本文に記載されている場合がありました。
パスワードには現在使用しているもの、過去に使用していたものが記載されている場合がありました。
何からしらの原因で外部サービスから流出したデータをもとにしていると考えられます。 

4. 連絡先情報を収集したと脅す。
脅迫の文面にはいくつかのパターンがありますが、「あなたがみたアダルトサイトにウイルスを仕込んだ。それによりあなたがアダルトサイトを見ている姿をウェブカメラで撮影した。」「あなたの電子メールやSNSにある連絡先を収集した。」といった内容が記載されています。同僚や取引先、家族に知られることを恐れる心理を突いた手口です。

5. 画像の消去を条件に仮装通貨での支払いを要求する。
「撮影した画像を家族や同僚にばら撒かれたくなければビットコインで5,000ドルを支払え」、
「支払えば撮影した映像は即座に消去する」
という脅迫文がビットコインを利用する際の口座番号に相当するビットコインアドレス等の情報とともに記載されています。要求する金額については異なるケースもあります。

6. メールの送信元と送信先が不自然。
送信元と送信先のメールアドレスが両方とも受信者のものであったり、
送信元が受信者のメールアドレス、送信先が受信者のパスワードであったりと不自然なものが見つかっています。

脅迫メールへの対応

1. 受信したメールは無視する。
今回の脅迫メールは迷惑メールの一種ですのでメールは無視することが第一です。
間違っても仮装通貨の支払いは行ってはいけません。

2. 記載されていたパスワードは変更する。
脅迫メールに記載されていたパスワードを現在もウェブサービス等で利用している場合はすぐに変更してください。
なにかしらの理由でパスワードが外部のサービスから流出していると考えられます。
そのままにしていると今後も不正利用されるリスクが高まります。パスワードを変更する場合はできるだけ複雑で長いものにし使いまわさないことが大事です。2段階認証が設定可能なサービスであれば積極的に利用しましょう。

ウェブカメラのハッキング対策をしておきましょう

今回確認された脅迫メールは撮影したことを装った詐欺メールでしたが、ウェブカメラがハッキングされ不正利用される例は実際に起こっています。

ウェブカメラをハッキングする手口としては、マルウェアによる遠隔操作やOSの脆弱性を利用した乗っ取り、セキュリティ対策をしていないWi-Fi経由の侵入などが挙げられます。

身の覚えのないメールを開かない、怪しげなサイトを利用しないのは基本として他人にパソコンを利用させないといった判断も必要です。ストーカー犯罪など思いもよらない人物が不正なソフトウェアを仕込むなど脅威になる可能性もあるのです。

物理的にスマートフォンやノートパソコンのインカメラを塞ぐ防犯グッズも発売されておりますので導入を検討するのもよいのではないでしょうか。

まとめ

アダルトサイトの利用という後ろめたい気持ちを同僚や家族に知られたくないという心情を利用した卑怯な手口の迷惑メールに騙されないようにしましょう。
また、アダルトサイトの利用はしていないから安心と油断しないようにしましょう。
webカメラの不正アクセスによるセクストーションにはプライベートな写真を撮影され脅迫に利用されるケースもあります。
webカメラを利用しないときは取り外す、一体型のものであれば市販のセキュリティグッズを導入するといった対策も有効です。
怪しげなサイトには利用しない、セキュリティ対策ソフトウェアを導入しアップデートでOSと常に最新の状態に保つ、といった基本的な対策を心掛けるようにしましょう。

参考リンク

IPA(情報処理推進機構)
【性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意】
https://www.ipa.go.jp/security/anshin/mgdayori20181010.html

サンワサプライ
【セキュリティカメラシール】
https://direct.sanwa.co.jp/ItemPage/200-SL058