Web カメラを乗っ取ったとする「最終警告」は本物か

セクストーション詐欺が再び活発化しています。

というよりも、沈静化したことは一度もありませんでした。

毎月何十通ものセクストーション詐欺メールが仕事のアカウントと個人のアカウントに送られてくるユーザーもいます。そうしたメールの中には、「金を払え。さもなければ」と脅迫してくるものもあります。

この「さもなければ」というのは、ユーザーが写っている性的な動画を公開するぞという脅しです。

脅迫文の例を以下に引用します。

(引用文日本語訳) 最終警告。ご自分の社会生活を守る最後のチャンスです。これはジョークではありません。72 時間以内に支払いをしなければ、動画をあなたの友人や仲間全員に送ります。

ユーザーが出演しているというこの成人向けビデオを、サイバー犯罪者たちはどのように入手したのでしょうか。

サイバー犯罪者は通常、何らかの方法でユーザーのコンピュータに埋め込んだマルウェアを使って撮影したのだと言い張ります。

(引用文日本語訳) ポルノサイトの広告に潜ませておいたトロイの木馬ウイルスを介してコンピュータをハッキングし、しばらくの間あなたを監視してきました。念のため説明しておくと、トロイの木馬ウイルスに感染したコンピュータやデバイスには完全にアクセスすることも制御することも可能です。つまり、あなたに気付かれずに画面に表示されるものすべてを見たり、カメラとマイクをオンにしたりできるということです。

これは真っ赤なウソなので安心してください。

しかし、監視していると脅してくるこの種のサイバー犯罪が恐ろしいことに変わりはありません。

ポルノは見ていなかったとしても、コンピュータにスパイウェアが仕込まれていたら何を知られているのかと不安になって当然です。

技術的に可能なのか?

RAT (Remote Access Trojan: リモートアクセス型トロイの木馬) と呼ばれる種類のマルウェアがあります。このマルウェアを使用すると、リモートから他のユーザーの Web カメラを起動することができます。

たとえば 2014 年に注目を集めた事件では、コンピュータサイエンスを学んでいたカリフォルニア州の大学生 Jared James Abrahams が Web カメラを介して複数の女性を覗き見していたとして懲役 18 カ月の有罪判決が下りました。

Abrahams は罪状認否で、Abrahams から受けた脅迫の内容を公にした「ミスティーン USA」の女性を含む 150 人の女性へのハッキングと恐喝の容疑を認めています。

(ミスティーン USA の女性は、同じパスワードを使いまわす習慣があったとも話しており、これが攻撃と感染のきっかけになったと考えられます。パスワードを適切に選択していない方は、今すぐパスワードを変更することをお勧めします。)

犯人は本当に弱みを握っているのか?

答えは「ノー」です。

上記のような電子メールを受信したとしても、証拠となるビデオの静止画像やファイルを表示するリンクが含まれていなければ、それは単なるはったりです。

あなたを怖がらせて金銭を支払わせようとしているだけです。

このような犯人は何百万件ものセクストーション詐欺メールを送信しています。実際、SophosLabs が設置しているスパムトラップがこの 24 時間に受信したあるセクストーション詐欺メールの数は、1,700 件に上ります。

犯人にとっては、不安になって金銭を支払うユーザーが数人いるだけで、ほぼコストゼロで数千ドルを手にすることができます。

「金銭を支払わない、返信もしない」というのが唯一のアドバイスです。

脅迫メールは削除して、サイバー詐欺師とは一切やり取りしないでください。

それでも不安な方へ

Naked Security には、ポルノを見たこともなければコンピュータに Web カメラが搭載されていないにもかかわらず、脅迫メールに怯えた読者から電子メールが寄せられています。

これは、犯人がユーザーの「インサイダー情報」を持っていると信じ込ませようとするからです。

犯人は、コンピュータが何らかのスパイウェアに感染していることを「証明」するために、電子メールにユーザーの個人情報を含めてきます。

例:

  • ユーザのパスワードが含まれる場合: 古いパスワードであることが多いものの、通常は実際に使用している (あるいは使用していた) パスワードです。不気味ではありますが、パニックになる必要はありません。どこか別の場所でデータ漏洩が発生した際に盗まれたパスワードであり、犯人がユーザーから直接盗んだものではありません。
  • ユーザーの電話番号が含まれている場合: パスワードと同じく、データ漏洩で入手したメールアドレスとペアになっている電話番号を使用しているだけです。ユーザーのコンピュータから直接電話番号が抜き取られたわけではありません。
  • ユーザー自身のメールアカウントから送信されている場合: ユーザーのアカウントから送信されたメールではありません。差出人フィールドに表示される名前は、実際には電子メールの一部であり、犯人は任意の文字列を表示できます。これは、普通郵便で送付する手紙の署名部分に、自由に名前を書き込めるのと同じことです。

対策

対策は特にありません。

あえて挙げるとすれば、メールを削除すること、パニックに陥らないこと、返信しないこと、そして何よりも金銭を支払わないことです。

犯人が本当にあなたの「セックステープ」を持っていることを証明したければ、その静止画像や動画をプレビューするためのリンクを送ってくるはずです。

彼らはあなたを脅かして、何らかの情報を握っているという曖昧で説得力のない証拠を提示するだけです。

ですので、パニックを起こさず電子メールを削除してください。そして、犯人とは連絡を取らないでください。

詳細情報について


(ビデオが表示されない場合は YouTube でご視聴ください。)

セクストーション詐欺は目新しいものではありません。Naked Security はこれまで、電子メールアドレスを偽装して (リンク先: 英語)コンピュータが不正にアクセスされたとユーザーに思い込ませる方法や、最新のセクストーション詐欺メールについて取り上げています。ぜひお読みください。