詐欺やフィッシング、マルウェア感染を目的としたスパムメールの拡散は日常的なものです。カスペルスキーではつい最近、また新たなスパムメールを観測しました。
このメールはブルガリアのIPアドレスから送付されました。差出人は宛先(自分のアドレス)と同じメールアドレスをかたっています。このほかにもベトナム、エルサルバドル、スペイン、サウジアラビア、マレーシア、カンボジア、コロンビア、メキシコ、コスタリカなどのIPアドレスが観測されており、多くの国のIPアドレスを使い送信している様子です。
メールは「ポルノサイト閲覧を通してRAT(リモートアクセスツール)に感染させ、メールアカウントをハッキングし、機密情報や連絡先、あなたの恥ずかしい動画を取得した。データを消去してほしければBitcoinを支払え」と主張していますが、これはもちろん無差別に送られた詐欺メールです。
図1のメールが拡散された翌日、文面とBitcoinアドレスが異なるものの、同じように550ドルを要求するメールが届いており、これらのスパムメールに利用されている件名は以下のものが見つかっています。
・読んだ後に電子メールを削除!
・件名:セキュリティ警告
・アカウントの問題
・緊急のメッセージ
・あなたのアカウントについて。
・それはあなたの安全の問題です。
・私はあなたのアカウントをハックしている
・あなたのアカウントは亀裂です
・あなたの安全は危険にさらされています!
・AVアラート
・すぐにお読みください!
・緊急対応!
・あなたの心の安らぎの問題。
脅しの内容は、今年7月頃に発生していた、パスワード付き脅迫メールとも酷似しています。※参考記事:仮想通貨を要求する不審な脅迫メールについて(JPCERT/CC)
このほか、メールの宛先と本文にパスワードを記載したパターンのメールも見られています。
図1のメールを受信する3日前、まったく同様の内容で、要求金額とBitcoinアドレスが異なる英文のメールが届いていました。
おそらく攻撃者はGoogle翻訳を利用しているのでしょう。図3の英文メールをGoogle翻訳で日本語に変換すると、日本語メールの内容とほぼ同様の翻訳結果が出てきました。調べていくと、日本語、英語のほかに、ドイツ語、イタリア語、フランス語、韓国語などでも同様のスパムメールが拡散されていることが分かりました。
興味深いことに、各言語で利用されているBitcoinアドレスはそれぞれ異なっており、要求金額にも違いがあります。フランス語のメールでは250ドル、英語、ドイツ語、イタリア語は300ドル、日本語では550ドルをそれぞれBitcoinで支払うよう求めています。
※2018年9月21日時点では、日本語版メールでの要求額が550ドルから570ドルに増額されています
※2018年9月25日時点では、日本語版メールでの要求額がさらに650ドルへ増額されています
※2018年9月27日時点では、日本語版メールでの要求額がさらに700ドルへ増額されています
※2018年9月28日時点では、日本語版メールでの要求額が550ドルに減額されています
※2018年10月3日時点では、日本語版メールでの要求額が1,000ドルに増額されています
※2018年10月4日時点では、日本語版メールでの要求額が800ドルに減額されています
※2018年10月5日時点では、日本語版メールでの要求額が850ドルに増額されています
残念ながら、この脅迫メールを信じてBitcoinを支払ってしまった人がいるようです。
一番Bitcoinのトランザクションの量が多かったのは、フランス語のスパムメールに記載されたアドレスでした。もちろん、これらの支払いすべてが脅迫に応じたものかどうかは定かではありませんが、スパムメールが拡散し始めた時期から250ドル前後のBitcoinの支払い記録が残っています。
メールの内容が凝っていたためにプライベートな動画を知り合いにばらまかれてはたまらないと考えた人が多かった、さらに、データ消去と引き替えに要求された250ドルという金額が手ごろだった、ということから支払ってしまったのではないかと推察されます。反対に一番トランザクションが少ないのは、日本語メールに書かれていたアドレスです。日本語メールがばらまかれ始めたのがごく最近だったためにまだ被害者が少ないこと、メール本文の日本語が不完全なので、受け取ったとしても無視していることが理由として考えられます。
このようなスパムメールが届いたとしても、この記事を読んでいる方はまずだまされないと思いますが、最近スマートフォンやPCを利用し始めたご年配の方はどうでしょうか。こういった脅迫メールが届いたことそのものを、周囲の人に相談できないかもしれません。ぜひ、身近な方に注意喚起していただければ幸いです。
今回はまったく根拠のない脅迫メールでした。しかし、数年前からセキュリティの甘いアカウントをハッキングしたり、デバイスをマルウェアに感染させたりしてごくプライベートな画像や動画を実際に手に入れ、相手を脅迫する行為が存在します。チャットなどで性的なメッセージのやり取りを行う中で、自分で相手にそのようなデータを提供するように誘導されてしまう場合もあります。こういった被害に巻き込まれないよう、以下の点にご注意ください。
- OS、ソフトウェアを最新の状態で利用する
- セキュリティ製品を利用する
- クラウドサービスやSNSのアカウントには強固なパスワードを利用し、2段階認証を設定する
- データのシェア、オンラインでのやりとりは慎重に。要求されたデータは基本的に渡さない
参考記事:仮想通貨を要求する日本語の脅迫メールについて(JPCERT/CC)
※2018年9月21日更新:新たに確認されたメール件名、日本語版メールでの要求額の情報を追記しました
※2018年9月25日更新:日本語版メールでの要求額の情報を追記しました
※2018年9月27日更新:新たに確認されたメールの画像、日本語版メールでの要求額の情報を追記しました
※2018年9月28日更新:日本語版メールでの要求額の情報を追記しました
※2018年10月3日更新:日本語版メールでの要求額の情報を追記しました
※2018年10月4日更新:日本語版メールでの要求額の情報を追記しました
※2018年10月8日更新:日本語版メールでの要求額の情報を追記しました